Debian-Sicherheits-Audit-Projekt

Das Debian-Sicherheits-Audit-Projekt (Debian Security Audit Project) ist ein Projekt, das sich darauf konzentriert, für Debian-Pakete einen Audit im Hinblick auf Sicherheitsprobleme durchzuführen.

In der kurzen Zeit, die es läuft, zeichnet das Projekt verantwortlich für mehrere Debian-Sicherheitsankündigungen und beweist damit, dass dieser Audit-Prozess wirklich funktioniert und die Sicherheit von Debian verbessert. Es ist unsere Hoffnung, dass weitere Ankündigungen aus zukünftiger Arbeit entstehen.

Indem wir bei der Durchführung von Code-Audits eine proaktive Haltung einnehmen, können wir helfen sicherzustellen, dass Debian seinen Ruf behält, Sicherheit ernst zu nehmen.

Umfang des Audits

Das Ziel des Projekts ist, in der Debian-Stable-Veröffentlichung für so viele Pakete wie möglich ein Audit durchzuführen, um potenzielle Fehler zu finden. Wichtige Pakete, die in der Unstable-Distribution enthalten sind, können ebenfalls auf Fehler hin untersucht werden, wodurch die Wahrscheinlichkeit sinkt, dass unsichere Pakete überhaupt erst in die Stable-Veröffentlichung gelangen.

Wegen der ungeheuren Größe der aktuellen Debian-Veröffentlichung ist es für ein kleines Team nicht machbar, alle Pakete einem Audit zu unterziehen. Aus diesem Grund gibt es ein System, das es erlaubt, Prioritäten für Pakete zu setzen, die für die Sicherheit entscheidender sind.

Die Richtlinien für Paket-Prioritäten versuchen sicherzustellen, dass die Zeit für Audits von Paketen benutzt wird, die wichtig sind. Die Übersicht über Audit-Werkzeuge zeigt, wie einige der verfügbaren Quelltextscanner benutzt werden können, um ein Audit durchzuführen.

Bereits veröffentlichte Ankündigungen

Für jedes Paket, das als verwundbar im Hinblick auf ein Sicherheitsproblem eingestuft wird, wird eine DSA (Debian-Sicherheits-Ankündigung) vom Debian-Sicherheits-Team veröffentlicht.

Als Nachweis gibt es eine Liste früherer Ankündigungen, die direkt aus dem Audit-Prozess entstanden sind.

Weitere Informationen

Weitere Informationen über das Projekt finden Sie in der Sicherheits-Audit-FAQ.