Debian Säkerhetsgransknings-FAQ

Den här sidan listar några av de vanligaste frågorna besökare kan ha när dom hör talas om detta projekt för första gången.

Vad är Debians Säkerhetsgranskningsprojekt?

Debians Säkerhetsgranskningsprojekt är ett litet projekt som utförs inom Debianprojektet, skapat för att ta en proaktiv hållning gentemot säkerhet genom att granska källkoden i paketen som finns tillgängliga för Debiananvändare.

Granskningen fokuserar på Debians stabila utgåva, och granskningsarbetet följer riktlinjerna för paketprioritet.

När starades säkerhetsgranskningsprojektet?

Den första bulletinen släpptes i December 2002, och följdes av en serie ytterligare bulletiner med tiden.

Den fortsatte med inofficiell kapacitet tills den fick officiell status i Maj 2004 av den dåvarande projektledaren, Martin Michlmayr.

Vilka bulletiner har granskningsarbetet resulterat i?

Det har släppts flera bulletiner som en del av granskningsarbetet, och alla som släpptes innan projektet fick officiell status listas på sidan sidan för granskningsbulletiner.

Vi hoppas att publikt kända bulletiner från projektet i framtiden kan hittas genom att titta på Debians säkerhetsbulletiner och söka efter Debians Säkerhetsgranskningsprojekt.

Är allt granskningsarbete relaterat till bulletiner?

Faktiskt inte. Det finns många säkerhetsproblem som granskningsprocessen har funnit men som inte är direkt exploaterbara (dom kan dock få ett program att krascha). Vissa andra exploaterbara säkerhetsproblem som vi har hittat har inte varit problem i den stabila utgåvan, utan i testningsutgåvan eller den instabila utgåvan. Alla dessa problem rapporteras genom Debians felrapporteringssystem (och i vissa fall även direkt till uppströmsförfattarna).

Vilka har bidragit till detta arbete?

Steve Kemp startade Debians säkerhetsgranskningsprojekt, skapade den initiala processen, och testade den genom att hitta flera sårbarheter.

Ulf Härnhammar gick med under den tidiga inofficiella tiden och hittade flera sårbarheter som senare har rättats, och Ulf följdes strax efter av Swaraj Bontula och Javier Fernández-Sanguino som även dom hittade flera betydande säkerhetsbrister.

David A. Wheeler sporrade Steven Kemp att erbjuda sig att leda det som ett officiellt Debianprojekt, vilket gjordes möjligt tack vare inblandning från Debian dåvarande projektledare Martin Michlmayr. David gav även många hjälpfulla förslag om innehållet på dessa sidor, och bidrog direkt med flera delar.

Debian säkerhetsgrupp har varit mycket hjälpsam i att få granskningen framgångsrik genom att säkerställa att brister som hittas snabbt rättas och distribueras till användarna.

Följande personer har bidragit åtminstone en säkerhetsbulletin under projektet:

Fler bidragslämnare är alltid välkomna!

Hur kan jag bidra?

Om du har tiden och kunskapen som krävs för att granska ett paket så är du helt enkelt välkommen att göra så!

Sidan översikt över granskningsarbetet ger dig en god idé om hur arbetet utförs — om du har ytterligare frågor kan du ställa dom på sändlistan debian-security.

Kan jag diskutera specifika paket på sändlistan?

Det är bäst om du inte nämner paketen som innehar problem som du har upptäckt innan en DSA har släppts, eftersom detta skulle tillåta illasinnade användare att ta utnyttja de brister du har hittat innan dom är rättade.

Istället kan sändlistan användas för att beskriva en bit kod och fråga efter åsikter om det är exploaterbart, och hur det kan fixas.

Hur kan jag bidra som paketunderhållare?

Paketunderhållare kan hjälpa till att säkerställa säkerheten i mjukvaran som dom paketerar genom att undersöka koden själva, eller genom att fråga efter hjälp.

Vänligen se översikten granskning för paketunderhållare.

Hur rapporterar jag ett problem som jag har upptäckt?

Det finns en sektion i Säkerhetsgruppens FAQ som beskriver processen.

Finns paket som är granskade och funna problemfria tillgängliga?

Nej, paket som har blivit granskade och funna problemfria listas inte publikt.

Detta är delvis på grund av att det kan finnas problem som har missats och delvis för att granskningen kan ha skett av flera personer utan någon större mängd koordinering.

Var kan jag hitta mer information?

Det finns tyvärr ingen sändlista som du kan prenumerera på för att ställa frågor. För närvarande ber vi dig att använda sändlistan debian-security.