FAQ de auditoria de segurança do Debian

Esta página lista algumas das questões mais comuns que visitantes podem ter ao ouvir pela primeira vez sobre este projeto.

O que é o projeto de auditoria de segurança do Debian?

O projeto de auditoria de segurança do Debian é um pequeno projeto conduzido dentro do projeto Debian, desenhado para ter uma atitude proativa frente à segurança pela realização de auditorias de código-fonte dos pacotes disponíveis aos(às) usuários(as) do Debian.

A auditoria é focada na distribuição estável (stable) do Debian, com o trabalho de auditoria sendo orientado pelas diretrizes de priorização de pacotes.

Quando o projeto de auditoria de segurança do Debian foi iniciado?

O primeiro aviso foi lançado em dezembro de 2002, seguido por uma série de avisos adicionais posteriormente.

Ele continuou como uma função não oficial até ter sido concedido seu status oficial em maio de 2004 pelo líder do projeto Debian, Martin Michlmayr.

Que avisos foram resultado de esforços de auditoria?

Múltiplos avisos foram lançados como parte do trabalho de auditoria, e todos aqueles que foram lançados antes do projeto ter recebido seu status oficial estão listados na página de avisos de auditoria.

Espera-se que em um futuro próximo, os avisos publicamente conhecidos do projeto possam ser encontrados ao se ler os relatórios de avisos de segurança do Debian e ao se procurar pelo projeto de auditoria de segurança do Debian.

Todo o trabalho de auditoria está relacionado com avisos?

Na verdade, não. Existem muitos problemas de segurança que o processo de auditoria descobriu que não são imediatamente exploráveis (eles podem, contudo, fazer com que o programa quebre). Outros problemas de segurança que podem ser explorados, e que nós descobrimos, não estavam presentes na versão estável (stable) oficial do Debian, mas estavam presentes na versão teste (testing) e instável (unstable). Todos foram relatados através do sistema de rastreamento de bugs do Debian (e em alguns casos, diretamente aos(às) autores(as)).

Quem contribuiu para este trabalho?

Steve Kemp começou o projeto de auditoria de segurança do Debian, criando o processo inicial e testando-o ao encontrar muitas vulnerabilidades.

Ulf Härnhammar juntou-se ao projeto durante este período não oficial inicial e encontrou diversas vulnerabilidades que foram logo corrigidas; Ulf foi logo seguido por Swaraj Bontula e Javier Fernández-Sanguino, que também encontraram muitos e significantes problemas de segurança.

David A. Wheeler instigou Steve Kemp a se voluntariar para liderar o projeto como um projeto oficial do Debian, o que foi possível pelo envolvimento do líder do projeto Debian, Martin Michlmayr. O David também fez várias sugestões úteis sobre o conteúdo dessas páginas, diretamente contribuindo para várias seções.

O time de segurança do Debian foi muito prestativo em fazer das auditorias um sucesso, garantindo que qualquer vulnerabilidade encontrada fosse rapidamente corrigida e distribuída para o mundo.

As seguintes pessoas contribuíram com ao menos um aviso de segurança em nome do projeto:

Mais contribuidores(as) são sempre bem-vindos(as)!

Como eu posso contribuir?

Se você tem tempo e habilidades necessários para auditar um pacote, então simplesmente vá em frente e faça!

A visão geral sobre auditoria deve te oferecer uma boa ideia de como realizar o trabalho — qualquer dúvida adicional que você possa ter pode ser perguntada (em inglês) na lista de discussão debian-security.

Eu posso discutir sobre pacotes específicos na lista de discussão?

O melhor é que você não nomeie os pacotes contendo problemas que você descobriu antes de uma DSA ter sido lançada. Já que isto permite que usuários(as) maliciosos(as) se aproveitem de qualquer falha que você descrever antes delas serem corrigidas.

Em vez disso, a lista de discussão pode ser usada para descrever uma parte do código e para perguntar as opiniões se ele é explorável, e como pode ser corrigido.

Como eu posso contribuir sendo um(a) mantenedor(a) de pacote?

Os(as) mantenedores(as) de pacotes podem ajudar garantindo a segurança do software que eles(as) empacotam ao examinar o códigos eles(as) mesmos(as), ou pedindo por ajuda.

Por favor veja a síntese sobre auditoria para mantenedores(as) de pacotes.

Como eu reporto um problema que eu descobri?

Existe uma seção no FAQ do time de segurança descrevendo o processo.

Os pacotes auditados e considerados limpos estão disponíveis?

Não, os pacotes que foram examinados e não tiveram problemas encontrados dentro deles não são listados publicamente.

Isto acontece, em parte, porque pode haver problemas escondidos que passaram desapercebidos, e em parte porque as auditorias são conduzidas sem um grau muito grande de coordenação por muitas pessoas.

Onde eu posso encontrar mais informações?

Atualmente não existe uma lista de discussão na qual você possa se inscrever para fazer perguntas. Enquanto isso, por favor use a lista de discussão debian-security.