Latest News / Notizie del 2004 / Notizie -- Avvisi di sicurezza Debian sono CVE-Compatibili

Avvisi di sicurezza Debian sono CVE-Compatibili

30 Marzo 2004

Gli avvisi di sicurezza Debian (DSA) sono stati dichiarati CVE-compatibili nella RSA Conference 2004 tenutasi a San Francisco il 24 febbraio 2004.

Il servizio DSA fornito dal team di sicurezza Debian ha offerto informazioni sulle vulnerabiulità di sicurezza che sono state corrette nelle release di Debian GNU/Linux a partire dal 1997. Nel tentativo di cooperare con il progetto Common Vulnerabilities and Exposures (CVE) per standardizzare i nomi di tutte le vulnerabilità e di tutti i rischi inerenti la sicurezza, a partire dal giugno 2002 i nuovi avvisi di sicurezza contengono i nomi CVE. Debian ha formalmente attivato la compatibilità con CVE dal maggio 2003.

Il progetto Debian è convinto che sia estremamente importante fornire agli utenti informazioni correlate ai problemi di sicurezza che interessano la distribuzione Debian. L'inclusione dei nomi CVE negli avvisi aiuta gli utenti ad associare generiche vulnerabilità con specifici aggiornamenti Debian, riducendo quindi il tempo impiegato dai nostri utenti nella gestione delle vulnerabilità.

La disponibilità di riferimenti comuni per la sicurezza facilita anche la gestione della sicurezza in ambienti dove siano già impiegati strumenti per la sicurezza basati su CVE come network o host intrusion detection system o strumenti per la valutazione della vulnerabilità, siano o non siano essi basati sulla distribuzione Debian.

Il progetto Debian ha aggiunto i nomi CVE a tutti gli avvisi di sicurezza (DSA) rilasciati dal settembre 1998 tramite un processo di revisione iniziato nell'agosto 2002. Tutti gli avvisi possono essere trovati nel sito web Debian e gli annunci di nuove vulnerabilità già includono i nomi CVE se disponibili al momento del loro rilascio. Gli avvisi collegati ad un dato nome CVE possono essere direttamente ricercati mediante il motore di ricerca.

Inoltre Debian fornisce una completa tabella di riferimenti incrociati comprendente tutti i riferimenti disponibili per tutti gli avvisi pubblicati dal 1997. Questa tabella è fornita per completare la mappa disponibile su CVE.

Gli sviluppatori Debian sono consci della necessità di fornire informazioni precise ed aggiornate circa lo stato della sicurezza della distribuzione Debian, permettendo agli utenti di gestire i rischi legati a nuove vulnerabilità. I nomi CVE consentono al progetto di fornire dei riferimenti standard per tutte le vulnerabilità e per tutti i rischi inerenti la sicurezza che permettono agli utenti di sviluppare un sistema di gestione della sicurezza basato su CVE.