Vulnerability Policy — различия между версиями

Материал из ALT Linux Wiki
Перейти к: навигация, поиск
м
м
Строка 7: Строка 7:
 
  (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
 
  (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
  
 +
При этом:
 
* регистр не учитывается
 
* регистр не учитывается
* обязательно в скобках
+
* конструкция обязательно обрамлена скобками
 
* несколько уязвимостей указываются через запятую, пробел или and
 
* несколько уязвимостей указываются через запятую, пробел или and
 
* двоеточие можно не указывать
 
* двоеточие можно не указывать
  
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.
+
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.

Версия 16:29, 21 февраля 2017

Stub.png
Черновик политики Sisyphus
Автор(ы) —


Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)

При этом:

  • регистр не учитывается
  • конструкция обязательно обрамлена скобками
  • несколько уязвимостей указываются через запятую, пробел или and
  • двоеточие можно не указывать

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.