パッケージのメンテナ向けの監査方法

Debian アーカイブに含まれるパッケージのメンテナは、 自分自身でコードに一通り目を通すことを検討してください。

ソースコード監査ツールを利用できればこの作業はかなり楽になります。 時間がなくて自分で徹底的な監査をできなくても、問題がある可能性を秘めた箇所を見つけることができます。

もし援助が必要なら、 Debian セキュリティチーム または (公開の) debian-security メーリングリスト宛に、ソースコード監査の実施方法について援助を求めてください。

メンテナ向け情報

ソースコードのレビューを希望するメンテナは Debconf6 の新聞「 Debian のセキュリティバグを淘汰する (スライド) 」や覚え書き「 Short, practical overview on how to find a few common mistakes in programs written in various languages」 (ともに、監査プロジェクトのメンバーにより書かれています) を興味を持って読んでみるといいでしょう。

Debian のセキュリティバグを淘汰する新聞はメキシコでの Debconf6 で、講習会の一部として公開されました。監査を始めたばかりのメンテナにとってはサンプルコード講習会のビデオ が有用かもしれません。

新しいリリース

責任感のあるメンテナの一人として、 パッケージの上流の新しいリリースに注意を向けておくべきです。 changelog にセキュリティ問題に関する記述があったら、 安定版 (stable) ディストリビューションのコードが脆弱性を含むものでないか調べてみましょう。

安定版 (stable) ディストリビューションで利用できる脆弱性を含むバージョンをもっていたら、 セキュリティチームの FAQ に書かれているようにセキュリティチームに連絡をとってください。