Debians sikkerhedsbulletiner er CVE-kompatible

30. marts 2004

Debians sikkerhedsbulletiner (Debian Security Advisories, DSA) er blevet erklæret CVE-kompatible på RSA Conference 2004, i San Francisco, den 24. februar 2004.

Debians sikkerhedsteams DSA-service har leveret oplysninger om sikkerhedssårbarheder som er blevet rettet i Debian GNU/Linux-udgivelser siden 1997. Som et led i samarbejdet med projektet Common Vulnerabilities and Exposures (CVE) der standardiserer navnene på alle offentligt kende sårbarheder og sikkerhedsbrister, har nye sikkerhedsbulletiner indeholdt CVE-navne siden juni 2002. Debian ansøgte formelt om status som CVE-kompatibel i maj 2003.

Debian-projektet mener, at det er særdeles vigtigt at brugerne har adgang til yderligere oplysninger i forbindelse til sikkerhedsproblemer der påvirker Debians distribution. Anvendelse af CVS-navne i bulletiner, hjælper brugerne med at forbinde generiske sårbarheder med specifikke opdateringer fra Debian, hvilket formindsker den tid der bruges på at håndtere sårbarheder, som påvirker vore brugere.

Tilgængeligheden af fælles sikkerhedsreferencer letter også håndteringen af sikkerhed i et miljø hvor sikkerhedsværktøjer som understøtter CVE, såsom systemer til opdagelse af netværks- eller værtsindtrængen, eller hvor sårbarhedsvurderingsværktøjer allerede er installeret, uanset om de er baseret på Debians distribution eller ej.

Debian har tilføjet CVE-navne til alle sikkerhedsbulletiner (DSA'er), der er frigivet siden september 1998, via et arbejde der blev påbegyndt i august 2002. Alle bulletinerne kan hentes fra Debians websted, og annonceringer med forbindelse til nye sårbarheder indeholder CVE-navne, hvis disse er tilgængelige på det tidspunkt hvor bulletinerne udsendes. Bulletiner forbundet med givne CVE-navne kan man søge direkte i, ved hjælp af søgemaskinen.

Desuden har Debian en komplet krydsreferencetabel der indeholder alle tilgængelige referencer, til alle bulletiner frigivet siden 1997. Denne tabel stilles til rådighed for at komplementere det referenceoversigten, der er til tilgængelig hos CVE.

Debian-udviklerne har forståelse for behovet for, at stille præcise og ajourførte oplysninger om Debian-distributionens sikkerhedsstatus til rådighed, der giver brugere mulighed for at håndtere risiko forbundet med nye sikkerhedssårbarheder. CVE¨-navne gør det muligt for os at levere standardiserede referencer til alle offentligt kendte sårbarheder og sikkerhedsbrister, så brugerne kan udvikle en sikkerhedshåndteringsproces med CVE-understøttelse.