Vulnerability Policy: различия между версиями
(Новая страница: «{{DraftPolicy |responsible= }} == Указание устраненных уязвимостей в changelog == В changelog должен указываться CV...») |
Нет описания правки |
||
(не показано 8 промежуточных версий 4 участников) | |||
Строка 1: | Строка 1: | ||
{{ | {{Policy | ||
|responsible= | ||since=2 мая 2017 | ||
|responsible=lineprinter@ | |||
}} | }} | ||
== Указание устраненных уязвимостей в changelog == | == Указание устраненных уязвимостей в changelog == | ||
В changelog должен указываться CVE либо | В changelog должен указываться CVE либо при отсутствии такового -- другой идентификатор устраненной уязвимости: | ||
* при указании [https://cve.mitre.org/cve/ CVE] идентификатор должен иметь вид CVE-YYYY-XXXXXX | |||
* при указании [http://www.openwall.com/ove/ OVE] идентификатор должен иметь вид OVE-YYYYMMDD-XXXX | |||
* при указании [http://bdu.fstec.ru/vul BDU] идентификатор должен иметь вид BDU:YYYY-XXXXX | |||
* при указании [https://www.mozilla.org/en-US/security/advisories/ MFSA] идентификатор уязвимости должен иметь вид MFSA-YYYY-XX | |||
* при желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure". | |||
Укороченный формат подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|формату указания закрытого багрепорта]]: | |||
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) | |||
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее. | При этом: | ||
* регистр не учитывается | |||
* конструкция обязательно обрамлена скобками | |||
* несколько уязвимостей указываются через запятую, пробельные символы или and | |||
* двоеточие можно не указывать | |||
Расширенный формат имеет вид: | |||
- Fixes: | |||
+ MFSA-2014-72 Use-after-free setting text directionality | |||
+ MFSA-2014-71 Profile directory file access through file: protocol | |||
+ MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline | |||
+ MFSA-2014-69 Uninitialized memory use during GIF rendering | |||
+ MFSA-2014-68 Use-after-free during DOM interactions with SVG | |||
+ MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8) | |||
При этом: | |||
* первая строчка имеет вид <code>- Fixes</code> с опциональным двоеточием | |||
* строчки после <code>- Fixes</code> имеют отступ и могут начинаться с символов перечисления, таких как <code>+</code>, <code>*</code> и пр. | |||
* идентификатор уязвимости следует первым в строке после возможных символов перечисления | |||
* регистр не учитывается | |||
[http://git.altlinux.org/people/ldv/packages/?p=girar.git;a=blob;f=gb/gb-x-parse-vulns-from-changelog Код парсера] | |||
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее. |
Текущая версия от 18:18, 31 мая 2017
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо при отсутствии такового -- другой идентификатор устраненной уязвимости:
- при указании CVE идентификатор должен иметь вид CVE-YYYY-XXXXXX
- при указании OVE идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
- при указании BDU идентификатор должен иметь вид BDU:YYYY-XXXXX
- при указании MFSA идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
- при желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure".
Укороченный формат подобен формату указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
При этом:
- регистр не учитывается
- конструкция обязательно обрамлена скобками
- несколько уязвимостей указываются через запятую, пробельные символы или and
- двоеточие можно не указывать
Расширенный формат имеет вид:
- Fixes: + MFSA-2014-72 Use-after-free setting text directionality + MFSA-2014-71 Profile directory file access through file: protocol + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline + MFSA-2014-69 Uninitialized memory use during GIF rendering + MFSA-2014-68 Use-after-free during DOM interactions with SVG + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)
При этом:
- первая строчка имеет вид
- Fixes
с опциональным двоеточием - строчки после
- Fixes
имеют отступ и могут начинаться с символов перечисления, таких как+
,*
и пр. - идентификатор уязвимости следует первым в строке после возможных символов перечисления
- регистр не учитывается
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.