ЧаВО по аудиту безопасности Debian

Эта страница содержит ответы на некоторые общие вопросы, которые могут возникнуть у посетителей, которые впервые слышат о проекте.

Что такое проект по аудиту безопасности Debian?

Проект по аудиту безопасности Debian является небольшим проектом внутри Проекта Debian. Он создан для того, чтобы предупреждать проблемы безопасности путём выполнения аудита исходного кода пакетов, доступных пользователям Debian.

Аудит сфокусирован на стабильном выпуске Debian, работа по аудиту проводится в соответствии с руководством по приоритету пакетов для аудита.

Когда начался проект по аудиту безопасности Debian?

Первая рекомендация по безопасности была выпущена в декабре 2002, со временем за ней последовала ещё серия рекомендаций.

Проект продолжал работать неофициально до мая 2004 года, когда Лидер Проекта Debian, Мартин Михльмайер (Martin Michlmayr), придал ему официальный статус.

Какие рекомендации по безопасности были сформулированы благодаря аудиту?

В качестве части работы по аудиту было выпущено много рекомендаций по безопасности; все рекомендации, выпущенные до того момента как наш проект приобрел официальный статус, приведены на странице рекомендаций аудита.

Надеемся, что в недалёком будущем рекомендации, выпускаемые проектом, можно будет найти в отчётах о рекомендациях по безопасности Debian и с помощью поиска по запросу проект по аудиту безопасности Debian.

Вся ли работа по аудиту связана с рекомендациями по безопасности?

Вообще-то нет. Имеется множество проблем с безопасностью, которые обнаруживаются благодаря аудиту и которые нельзя использовать напрямую (тем не менее, они могут привести к аварийному завершению программы). Некоторые другие обнаруженные нами проблемы безопасности, которые могут использоваться злоумышленниками, отсутствуют в официальном стабильном выпуске Debian, но но были представлены в тестируемом или нестабильном выпусках. Отчёты о них отправляются в систему отслеживания ошибок Debian (и в некоторых случаях напрямую авторам основной ветки разработки).

Кто принял участие в этой работе?

Стив Кэмп (Steve Kemp) начал проект по аудиту безопасности Debian, создав изначальный процесс по аудиту, и тестировал его, находя множество уязвимостей.

Ульф Хэрнхаммер (Ulf Härnhammar) рано присоединился к проекту (на его неофициальной стадии) и нашёл несколько уязвимостей, которые впоследствии были исправлены, вслед за Ульфом присоединились Сварай Бонтула (Swaraj Bontula) и Хавьер Фернандес-Сангуино ( and Javier Fernández-Sanguino), которые также нашли несколько важных проблем безопасности.

Дэвид А. Уиллер (David A. Wheeler) побудил Стива Кэмпа вести проект на добровольной основе в качестве официального проекта Debian, что стало возможно благодаря вмешательству Лидера Проекта Debian Мартина Михльмайера. Дэвид также внёс много полезных предложений по поводу содержания этих страниц, приняв участие в создании нескольких разделов.

Команда безопасности Debian очень помогла в том, чтобы сделать аудит успешным, гарантируя, что любые найденные уязвимости будут незамедлительно исправлены и размещены.

Следующие люди приняли участие в проекте, отправив хотя бы одну рекомендацию по безопасности от лица проекта:

Мы всегда рады новым участникам!

Как я могу принять участие?

Если у вас есть время и необходимые навыки для аудита пакетов, то просто сделайте это!

Обзор процесса аудита даст вам представление о том, как эта работа проводится; любые дополнительные вопросы вы можете задать в списке рассылки debian-security.

Могу ли я обсудить конкретные пакеты в списке рассылки?

Лучше, если вы не будете указывать имена пакетов, содержащих проблемы, которые вы обнаружили, до того, как будет выпущена DSA (рекомендация по безопасности Debian), поскольку это позволяет злоумышленникам использовать эти проблемы до того, как они будет исправлены.

Вместо этого список рассылки может использоваться для описания куска кода и запроса мнений о том, является ли этот кусок проблемным, а также того, как он может быть исправлен.

Как я могу принять участие как сопровождающий пакетов?

Сопровождающие пакетов могут помочь гарантировать безопасность программного обеспечения, пакеты с которым они создают, путём самостоятельного просмотра кода, либо можно попросить помочь.

См. обзор на странице аудит для сопровождающих пакетов.

Как я сообщу об обнаруженной проблеме?

ВЧаВО команды безопасности есть раздел описывающий этот процесс.

Доступен ли список пакетов, аудит которых был проведён, и они оказались в порядке?

Нет, список пакетов, которые были проверены и в них не было обнаружено ошибок, не приводится публично.

Частично потому, что в таких пакетах всё ещё могут скрываться проблемы, которые на были замечены, частично потому, что аудит проводится несколькими людьми без особой координации этого процесса.

Где мне найти больше информации?

В настоящее время у нас нет списка рассылки, на который вы могли бы подписаться и в котором могли бы задавать вопросы. В настоящее время используйте список рассылки debian-security.