Vulnerability Policy — различия между версиями

Материал из ALT Linux Wiki
Перейти к: навигация, поиск
м
м
Строка 4: Строка 4:
  
 
== Указание устраненных уязвимостей в changelog ==
 
== Указание устраненных уязвимостей в changelog ==
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|синтаксису указания закрытого багрепорта]]:
+
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости.
 +
* При указании [https://cve.mitre.org/cve/ CVE] идентификатор должен иметь вид CVE-YYYY-XXXXXX
 +
* При указании [http://www.openwall.com/ove/ OVE] идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
 +
* При указании [http://bdu.fstec.ru/vul BDU] идентификатор должен иметь вид BDU:YYYY-XXXXX
 +
* При указании [https://www.mozilla.org/en-US/security/advisories/ MFSA] идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
 +
* При желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure"
 +
 
 +
Укороченный формат подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|формату указания закрытого багрепорта]]:
 
  (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
 
  (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
  
Строка 10: Строка 17:
 
* регистр не учитывается
 
* регистр не учитывается
 
* конструкция обязательно обрамлена скобками
 
* конструкция обязательно обрамлена скобками
* несколько уязвимостей указываются через запятую, пробел или and
+
* несколько уязвимостей указываются через запятую, пробельные символы или and
 
* двоеточие можно не указывать
 
* двоеточие можно не указывать
 +
 +
Расширенный формат имеет вид:
 +
- Fixes:
 +
  + MFSA-2014-72 Use-after-free setting text directionality
 +
  + MFSA-2014-71 Profile directory file access through file: protocol
 +
  + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline
 +
  + MFSA-2014-69 Uninitialized memory use during GIF rendering
 +
  + MFSA-2014-68 Use-after-free during DOM interactions with SVG
 +
  + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)
 +
 +
При этом:
 +
* регистр не учитывается
 +
* строчки после <code>- Fixes:</code> имеют отступ и могут начинаться с символов перечисления, таких как <code>+</code>, <code>*</code> и пр.
 +
* идентификатор уязвимости следует первым в строке после возможных символов перечисления
  
 
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.
 
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.

Версия 16:52, 28 февраля 2017

Stub.png
Черновик политики Sisyphus
Автор(ы) — lineprinter@


Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости.

  • При указании CVE идентификатор должен иметь вид CVE-YYYY-XXXXXX
  • При указании OVE идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
  • При указании BDU идентификатор должен иметь вид BDU:YYYY-XXXXX
  • При указании MFSA идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
  • При желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure"

Укороченный формат подобен формату указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)

При этом:

  • регистр не учитывается
  • конструкция обязательно обрамлена скобками
  • несколько уязвимостей указываются через запятую, пробельные символы или and
  • двоеточие можно не указывать

Расширенный формат имеет вид:

- Fixes:
  + MFSA-2014-72 Use-after-free setting text directionality
  + MFSA-2014-71 Profile directory file access through file: protocol
  + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline
  + MFSA-2014-69 Uninitialized memory use during GIF rendering
  + MFSA-2014-68 Use-after-free during DOM interactions with SVG
  + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)

При этом:

  • регистр не учитывается
  • строчки после - Fixes: имеют отступ и могут начинаться с символов перечисления, таких как +, * и пр.
  • идентификатор уязвимости следует первым в строке после возможных символов перечисления

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.