Projet d'audit de sécurité de Debian

Le projet d'audit de sécurité de Debian (Debian Security Audit Project) est un projet qui se concentre sur l'audit des problématiques de sécurité des paquets Debian.

Même si ce projet est très récent, il a émis plusieurs annonces de sécurité Debian (DSA), prouvant que ce processus d'audit fonctionne réellement en vue d'améliorer la sécurité de Debian. On espère que d'autres annonces seront le résultat du travail à venir.

En prenant une position proactive dans l'audit de code, nous aidons Debian à prendre la sécurité au sérieux.

Portée de l'audit

Le but de ce projet est d'auditer le plus de paquets inclus dans la version stable de Debian contre de potentielles failles. Les paquets principaux qui sont dans la version instable seront aussi examinés afin de limiter à terme l'entrée de nouveaux paquets non sécurisés dans la version stable.

Vu la taille actuelle de la version stable de Debian, il n'est pas possible pour une petite équipe d'auditer tous les paquets. Ainsi il y a un système de priorité des paquets pour sécuriser ceux qui sont les plus sensibles.

Les directives de définition des priorités des paquets tentent d'assurer que le temps est dépensé en auditant les paquets qui comptent. L'aperçu des outils d'audit montre comment les quelques analyseurs de code source disponibles peuvent être utilisés pour réaliser cet audit.

Annonces déjà publiées

Pour chaque paquet vulnérable à un problème de sécurité, une DSA est publiée par l'équipe de sécurité de Debian.

Pour référence, il y a une liste des annonces déjà fournies qui sont le résultat direct du processus d'audit.

Plus d'informations

Plus d'informations sur ce projet sont disponibles dans la FAQ sur l'audit de sécurité.