Vulnerability Policy — различия между версиями

Материал из ALT Linux Wiki
Перейти к: навигация, поиск
м
м
Строка 5: Строка 5:
 
== Указание устраненных уязвимостей в changelog ==
 
== Указание устраненных уязвимостей в changelog ==
 
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|синтаксису указания закрытого багрепорта]]:
 
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|синтаксису указания закрытого багрепорта]]:
  (Fixes: CVE-NNNN-NNNNN)
+
  (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
  
Регистр не учитывается, обязательно в скобках, несколько указываются через запятую, двоеточие можно не указывать.
+
* регистр не учитывается
 +
* обязательно в скобках
 +
* несколько уязвимостей указываются через запятую, пробел или and
 +
* двоеточие можно не указывать
  
 
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.
 
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.

Версия 16:24, 21 февраля 2017

Stub.png
Черновик политики Sisyphus
Автор(ы) —


Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
  • регистр не учитывается
  • обязательно в скобках
  • несколько уязвимостей указываются через запятую, пробел или and
  • двоеточие можно не указывать

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.