Debians sikkerhedsauditprojekt

Debians sikkerhedsauditprojekt er et projekt med fokus på auditering af Debian-pakke for at finde sikkerhedshuller.

I sin korte levetid har det været ansvarligt for flere af Debians sikkerhedsbulletiner, hvilket beviser at auditprocessen virkelig kan forbedre sikkerheden i Debian. Håbet at flere sikkerhedsbulletiner vil blive resultatet af dette arbejde.

Med den proaktivte holdning til auditering af kode, er vi med til at sikre at Debian fortsætter sin lange tradition med at tage sikkerhed alvorligt.

Auditeringsomfang

Projektets mål er at auditere så mange pakker som muligt i Debians stabile udgave, for at finde potentielle fejl. Vigtige pakker i den ustabile distribution kan også blive undersøgt for fejl, for at mindske sandsynligheden for at usikre pakker i det hele taget bliver en del af den stabile udgave.

På grund af den blotte størrelse af den aktuelle Debian-udgave, er det umuligt for en lille gruppe at auditere alle pakkerne, så der er et system til prioritering af pakker som er mere sikkerhedsfølsomme.

Pakkeprioriteringsretningslinierne forsøger at sikre at der bruges tid på at auditere pakker hvor det betyder noget, og oversigten over auditeringsværktøjer viser hvordan nogle af de tilgængelige kildekode-scannere kan anvendes som guide under en audit.

Udgivne bulletiner

For hver pakke der har vist sig at være sårbar overfor et sikkerhedsproblem, vil der blive udsendt en DSA af Debians sikkerhedsteam.

Som reference er der en liste over tidligere bulletiner, der er et direkte resultat af auditeringsprocessen.

Flere oplysninger

Flere oplysninger om projektet findes i sikkerhedsaudit-OSS'en.