Debianin tietoturvatiedotteet ovat CVE-yhteensopivia

30. maaliskuuta 2004

Debianin tietoturvatiedotteet (DSAt) on julistettu CVE-yhteensopiviksi RSA-konferenssissa 2004 San Franciscossa 24. helmikuuta 2004.

Debianin tietoturvaryhmän tarjoama DSA-palvelu on tuonut tiedot tietoturva-alttiuksista, jotka on korjattu Debian GNU/Linux -julkaisuissa sitten vuoden 1997. Yrityksessä tehdä yhteistyötä Common Vulnerabilities and Exposures (Yleiset alttiudet ja tietoturvareiät, CVE) -projekti standardoi nimet kaikille julkisesti tunnetuille alttiuksille ja tietoturvarei'ille. Uudet tietoturvatiedotteet ovat sisältäneet CVE-nimet sitten kesäkuun 2002. Debian haki muodollisesti CVE-yhteensopivuutta toukokuussa 2003.

Debian-projekti uskoo, että on erittäin tärkeää tarjota käyttäjille lisää tietoa, joka liittyy Debianiin vaikuttaviin tietoturvatapauksiin. CVE-nimien sisällyttäminen tiedotteisiin auttaa käyttäjiä yhdistämään yleiset alttiudet tiettyihin Debian-tiedotteisiin ja -päivityksiin. Tämä vähentää käyttäjiämme koskevien alttiuksien käsittelyyn kuluvaa aikaa.

Yleisten tietoturvaviitteiden saatavuus helpottaa myös tietoturvan hallintaa ympäristöissä, joissa CVE-käyttöisiä tietoturvatyökaluja, kuten verkon tai järjestelmän tunkeutumisentunnistusjärjestelmä tai alttiuksien käsittelytyökalut on jo otettu käyttöön huolimatta siitä ovatko ne Debian-jakeluun pohjautuvia.

Debian-projekti on lisännyt CVE-nimet kaikkiin tiedotteisiin, jotka on julkaistu syyskuun 1998 jälkeen jälkiseurantaprosessissa, joka alkoi elokuussa 2002. Kaikki tiedotteet voi noutaa Debianin www-sivustolta, ja julkistukset uusiin alttiuksiin liittyen sisältävät CVE-nimet jos sellainen on saatavilla julkistuksen aikaan. Tiettyyn CVE-nimeen liittyviä tiedotteita voi hakea suoraan hakupalvelulla.

Lisäksi Debian tarjoaa täydellisen ristiinviittaustaulukon, joka sisältää kaikki viitteet saatavilla oleviin tiedotteisiin, jotka on julkaistu vuodesta 1997 lähtien. Tämä taulukko tarjoaa täydennyksen CVE:ssä saatavilla olevaan viitekuvaukseen.

Debian-kehittäjät ymmärtävät tarpeen tarjota täsmällistä ja ajantasaista tietoa Debian-jakelun tietoturvatilanteesta mahdollistaen käyttäjien hallita uusiin tietoturva-alttiuksiin liittyviä riskejä. CVE-nimien avulla projektin on mahdollista tarjota standardoidut nimet kaikille julkisesti tunnetuille alttiuksille ja tietoturvarei'ille. Näin käyttäjät voivat kehittää CVE-käyttöisiä tietoturvan hallintaprosesseja.