Политика раскрытия информации об уязвимостях Debian
Данный документ является политикой эмбарго и раскрытия информации об уязвимостях, используемой Проектом Debian, поскольку такой документ требуется в соответствии со статусом Debian как организации, назначающей идентификаторы CVE (Sub-CNA, rule 2.3.3). За дополнительной информацией о безопасности в Debian обращайтесь к ЧАВО команды безопасности.Общий процесс
Команда безопасности Debian обычно связывается с пользователями, сообщившими об уязвимости, в течение нескольких дней. (См. ответы в ЧАВО о том, как связаться с командой безопасности, и том, как сообщить об уязвимостях.)
Большая часть ПО, являющегося частью операционной системы Debian, не была написана специально для Debian. Операционная система Debian в целом также служит основой для других дистрибутивов GNU/Linux. Это означает, что большинство уязвимостей, касающихся Debian, также касается и других дистрибутивов, а во многих случаях и коммерческих поставщиков ПО. Как следствие, раскрытие уязвимостей должно координироваться с другими участниками, а не просто тем, кто сообщает об уязвимости, и самим Проектом Debian.
Одним из мест для такой координации является список рассылки для дистрибутивов. Команда безопасности Debian ожидает, что опытные исследователи безопасности будут связываться с дистрибутивами через этот список рассылки и напрямую с подверженными уязвимостям проектами ПО. Команда безопасности Debian предоставит помощь другим пользователям, сообщающим об уязвимостях, если это потребуется. До подключения к взаимодействию третьих сторон будет получено разрешение от пользователей, сообщающих об уязвимостях.
Информация о сроках
Как указано в начале настоящего документа, сообщение о подтверждении изначального сообщения об уязвимости следует ожидать не более чем через несколько дней.
Поскольку разрешение большинства уязвимостей в ПО из состава Debian требует координации между несколькими сторонами (разработчики основной ветки разработки, другие дистрибутивы), время между изначальным сообщением об уязвимости и его раскрытием может сильно варьироваться в зависимости от участвующих в этом процессе организаций и ПО.
Список рассылки дистрибутивов ограничивает период эмбарго (время между изначальным сообщением и его раскрытием) двумя неделями. Однако более длительные периоды не являются чем-то необычным, однако раскрытие предполагает координацию через список рассылки дистрибутивов с той целью, чтобы подстроиться под ежемесячный или ежеквартальный график выпуска ПО поставщиками. Разрешение уязвимостей в Internet-протоколах может потребовать большего времени, также большее время требуется на разработку способов снижения рисков от уязвимостей в оборудовании с помощью изменения ПО.
Избегание эмбарго
Поскольку координация в частном порядке зачастую приводит к большому числу конфликтов и затрудняет участие экспертов по конкретным вопросам, Debian рекомендует раскрытие информации об уязвимостях даже до разработки исправления, за исключением тех случае, когда такой подход может явно навредить пользователям Debian и другим сторонам.
Команда безопасности Debian часто просит пользователей, сообщающих об уязвимостях, отправлять открытые сообщения об ошибках в соответствующую систему отслеживания ошибок (такую как система отслеживания ошибок Debian) и в случае необходимости предоставляет помощь.
Для назначения идентификатора CVE или указания того, кто обнаружил ошибку, соблюдать эмбарго не требуется.
Назначение идентификатора CVE
Debian, будучи младшим уполномоченным органом CVE (sub-CNA), назначает идентификаторы CVE лишь для уязвимостей Debian. Если уязвимость, о которой было сообщено, не удовлетворяет данному критерию и выходит за пределы сферы действия Debian CNA, то команда безопасности Debian либо примет меры для назначения идентификатора CVE от другой CNA, либо поможет пользователю, сообщившему об уязвимости, подать собственный запрос для назначения идентификатора CVE.
Назначение идентификатора CVE через Debian CNA будет раскрыто одновременно с публикацией рекомендации по безопасности Debian или с открытием сообщения об ошибке в соответствующей системе отслеживания ошибок.
Уязвимости и обычные ошибки
Из-за того, что в Debian присутствует широкий спектр различного ПО, нельзя предоставить какие-либо методологические рекомендации по поводу определения того, что является уязвимостью, а что является обычной ошибкой ПО. Если вы сомневаетесь в том, с чем вы столкнулись, то свяжитесь по этому поводу с командной безопасности Debian.
Программа поощрений за обнаружение ошибок
Debian не предлагает какую-либо программу поощрений за обнаружение ошибок. Независимые стороны могут стимулировать пользователей связываться с ними по поводу уязвимостей в операционной системе Debian, но они не подтверждены Проектом Debian.
Уязвимости инфраструктуры Debian
Сообщения об уязвимостях в инфраструктуре Debian обрабатываются точно так же. Если уязвимость в инфраструктуре не является результатом неправильной настройки, а уязвимостью в используемом ПО, то требуется обычная координация нескольких сторон по описанным выше процедурам и с тем же распределением по времени.