Nota: La página original es más nueva que esta traducción.

Preguntas frecuentes de la auditoría de seguridad de Debian

Esta página muestra algunas de las preguntas más frecuentes que se suelen plantear los visitantes que se acercan por vez primera a este proyecto.

¿Qué es el proyecto de auditoría de seguridad de Debian?

El proyecto de auditoría de seguridad es un pequeño proyecto dentro de Debian. Está diseñado para actuar sobre la seguridad de forma preventiva, realizando auditorías del código fuente de los paquetes que tienen a su disposición los usuarios de Debian.

La auditoría se centra en la distribución estable de Debian, y su rumbo lo marcan las directrices de priorización de paquetes.

¿Cuándo comenzó el proyecto de auditoría de Debian?

El primer aviso se publicó en diciembre de 2002, y lo siguieron varios avisos más.

Siguió como una característica no oficial hasta que Martin Michlmayr, el líder del proyecto Debian, declaró su estado como oficial.

¿Qué resultados (en forma de avisos) ha producido el esfuerzo de auditoría?

Se han publicado varios avisos como parte del trabajo de auditoría. Todos los que se publicaron antes de que el proyecto tuviera el estatus de oficial se muestran en la página de avisos de auditoría.

Se espera que en breve los avisos del proyecto sean públicos y se pueda acceder a los informes de los avisos de seguridad de Debian y buscarlos desde el Proyecto de auditoría de seguridad de Debian.

¿Está relacionado el trabajo de la auditoría con los avisos de seguridad?

No. Hay muchas incidencias de seguridad que el proceso de auditoría ha encontrado y de las que no se puede sacar provecho inmediatamente (sin embargo, podían hacer que el programa cayese). Algunas otras incidencias relacionadas con la seguridad que hemos encontrado no están presentes en la versión estable oficial de Debian, pero aparecía en las versiones en pruebas o inestable. Todos esos descubrimientos se han comunicado a través del sistema de seguimiento de fallos de Debian (y en algunas ocasiones, directamente a los autores originales).

¿Quién ha participado en este trabajo?

Steve Kemp comenzó el proyecto de auditoría de seguridad de Debian. Hizo el proceso inicial y lo probó, encontrando muchas vulnerabilidades.

Ulf Härnhammar se unió en estos primeros tiempos no oficiales y encontró varias vulnerabilidades que ya se habían corregido. Al poco tiempo de que lo hiciera Ulf, Swaraj Bontula y Javier Fernández-Sanguino, que también encontraron varios problemas de seguridad bastante significativos.

David A. Wheeler instigó a Steve Kemp a que se presentara voluntario para convertirlo en un proyecto oficial de Debian, lo que fue posible gracias a la implicación de Martin Michlmayr, el líder del proyecto Debian. David también hizo sugerencias de lo más interesante acerca del contenido de estas páginas, haciendo una contribución directa a varias secciones.

El equipo de seguridad de Debian ha sido de mucha ayuda para el éxito de la auditoría, asegurándose de que todas las vulnerabilidades que se encontraban se corregían y se distribuían por el mundo rápidamente.

Las siguientes personas han contribuido en al menos un aviso de seguridad en nombre del proyecto:

Las colaboraciones siempre son bienvenidas.

¿Cómo puedo colaborar?

Si tiene el tiempo y las habilidades necesarias para realizar la auditoría de un paquete, adelante con ello.

El vistazo general de la auditoría debería darle una buena idea de cómo afrontar el trabajo. Puede realizar cualquier pregunta que tenga en la lista de correo de debian-security.

¿Puedo debatir sobre paquetes específicos en la lista de correo?

Es mejor que no nombre los paquetes en los que haya descubierto los problemas antes de que se publique un DSA. Si lo hace, podría permitir que un usuario malvado se aprovechara de cualquier debilidad que haya descrito antes de que se haya corregido.

En su lugar, puede usar la lista de correo para describir un trozo de código y pedir opinión sobre si se podría sacar provecho de esto y cómo corregirlo.

¿Cómo puedo colaborar como mantenedor de un paquete?

Los mantenedores de paquetes pueden ayudar a asegurar el software que están empaquetando echando un vistazo al propio código o pidiendo ayuda.

Eche un vistazo a la auditoría para mantenedores de paquetes.

¿Cómo informo de un problema que he descubierto?

Hay una sección en las preguntas frecuentes del equipo de seguridad que describe el proceso.

¿Hay disponibles paquetes auditados y limpios?

No. No hay una lista pública de los paquetes que se han examinado y en los que no se han encontrado problemas.

En parte, se debe a que puede haber problemas ocultos que hemos pasado por alto y, también en parte, a que hay varias personas llevando a cabo las auditorías sin un gran nivel de coordinación.

¿Dónde puedo encontrar más información?

Hay una lista de correo a la que puede suscribirse y en la que puede realizar preguntas.

Para más detalles, puede dirigirse a la página de la lista de correo debian-audit.