FAQ de l'audit de sécurité de Debian

Cette page liste les questions habituelles des visiteurs qui entendent parler de ce projet pour la première fois.

Qu'est-ce que le projet d'audit de sécurité de Debian ?

Le projet d'audit de sécurité de Debian est un petit projet mené au sein du projet Debian, destiné à avoir une démarche proactive vis à vis de la sécurité, en effectuant des audits du code source des paquets mis à disposition des utilisateurs de Debian.

L'audit se focalise sur la distribution stable de Debian, le travail d'audit étant orienté par les recommandations sur la priorité d'audit des paquets.

Quand le projet d'audit de sécurité de Debian a-t-il démarré ?

La première annonce de sécurité est sortie en décembre 2002, suivie par une série d'annonces supplémentaires avec le temps.

Le projet a continué sous forme officieuse jusqu'à ce qu'il soit officialisé en mai 2004 par le chef du projet Debian, Martin Michlmayr.

Quelles annonces proviennent de l'effort d'audit ?

Il y a eu de multiples annonces diffusées en tant que résultats du travail d'audit. Celles diffusées avant que le projet devienne officiel sont listées sur la page des annonces de l'audit de sécurité.

On espère dans un futur proche que les annonces connues comme issues du projet pourront être trouvées en cherchant Debian Security Audit Projet dans les rapports des annonces de sécurité de Debian.

Tout le travail d'audit porte sur les annonces de sécurité ?

En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent interrompre le programme). D'autres problèmes de sécurité exploitables que nous avons trouvés ne sont pas présents dans la version stable officielle de Debian, mais dans les versions de test (Testing) ou instable (Sid). Tous ces problèmes sont remontés à travers le système de suivi des bogues de Debian (et dans certains cas directement aux développeurs amont).

Qui a contribué à ce travail ?

Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses premières procédures, et les a testées en trouvant de nombreuses vulnérabilités.

Ulf Härnhammar a rejoint le projet à ses débuts non officiels et a trouvé plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi par Swaraj Bontula et Javier Fernández-Sanguino qui ont également découvert des problèmes de sécurité significatifs.

David A. Wheeler incita Steve Kemp à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu possible par l'implication du chef du projet Debian, Martin Michlmayr. David fit également de nombreuses suggestions utiles sur le contenu de ces pages, et contribua directement à plusieurs sections.

L'équipe de sécurité de Debian a été très utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités trouvées étaient rapidement corrigées et que les corrections étaient rapidement diffusées dans le monde.

Les personnes suivantes ont déjà contribué à au moins une annonce de sécurité au nom du projet :

Les nouveaux contributeurs sont toujours les bienvenus !

Comment puis-je contribuer ?

Si vous avez le temps et les compétences nécessaires pour auditer un paquet, alors lancez-vous !

La présentation de l'audit devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la liste de diffusion debian-security.

Puis-je discuter de paquets spécifiques sur la liste de diffusion ?

Il est préférable que vous ne nommiez pas les paquets contenant les problèmes que vous avez découverts avant qu'une DSA ne soit publiée. Cela permettrait aux utilisateurs malveillants d'exploiter les failles que vous décririez avant qu'elles soient corrigées.

En revanche, la liste de diffusion peut être utilisée pour décrire un bout de code et demander des avis sur son caractère exploitable, et la manière de le corriger.

Comment puis-je contribuer comme mainteneur de paquet ?

Les mainteneurs de paquet peuvent aider à assurer la sécurité du logiciel qu'ils empaquettent en regardant eux-même au code, ou en demandant de l'aide.

Veuillez regarder la page sur l'audit pour les mainteneurs de paquets.

Comment rapporter un problème que j'ai découvert ?

Une section dans la FAQ de l'équipe Debian sur la sécurité décrit la procédure.

La liste des paquets audités qui n'ont pas de problème est-elle disponible ?

Non, les paquets qui ont été examinés et pour lesquels aucun problème n'a été trouvé ne sont pas listés publiquement.

C'est en partie car des problèmes tapis pourraient avoir été oubliés, et en partie car les audits sont conduits par plusieurs personnes, sans beaucoup de coordination.

Où puis-je trouver plus d'informations ?

Il n'existe pour l'instant aucune liste de diffusion à laquelle s'abonner pour poser des questions. En attendant, veuillez utiliser la liste de diffusion debian-security.