Vulnerability Policy: различия между версиями

Материал из ALT Linux Wiki
м (отгиленсонил чуток)
Нет описания правки
 
(не показаны 2 промежуточные версии 2 участников)
Строка 1: Строка 1:
{{DraftPolicy
{{Policy
||since=2 мая 2017
|responsible=lineprinter@
|responsible=lineprinter@
}}
}}
Строка 30: Строка 31:


При этом:
При этом:
* первая строчка имеет вид <code>- Fixes</code> с опциональным двоеточием
* строчки после <code>- Fixes</code> имеют отступ и могут начинаться с символов перечисления, таких как <code>+</code>, <code>*</code> и пр.
* идентификатор уязвимости следует первым в строке после возможных символов перечисления
* регистр не учитывается
* регистр не учитывается
* строчки после <code>- Fixes:</code> имеют отступ и могут начинаться с символов перечисления, таких как <code>+</code>, <code>*</code> и пр.
 
* идентификатор уязвимости следует первым в строке после возможных символов перечисления
[http://git.altlinux.org/people/ldv/packages/?p=girar.git;a=blob;f=gb/gb-x-parse-vulns-from-changelog Код парсера]


Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.

Текущая версия от 18:18, 31 мая 2017

Stamp90cw.png
Действующая политика Sisyphus

Политика действует с 2 мая 2017.

Ответственный за проведение политики в жизнь — lineprinter@.


Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо при отсутствии такового -- другой идентификатор устраненной уязвимости:

  • при указании CVE идентификатор должен иметь вид CVE-YYYY-XXXXXX
  • при указании OVE идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
  • при указании BDU идентификатор должен иметь вид BDU:YYYY-XXXXX
  • при указании MFSA идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
  • при желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure".

Укороченный формат подобен формату указания закрытого багрепорта: 

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)

При этом:

  • регистр не учитывается
  • конструкция обязательно обрамлена скобками
  • несколько уязвимостей указываются через запятую, пробельные символы или and
  • двоеточие можно не указывать

Расширенный формат имеет вид: 

- Fixes:
  + MFSA-2014-72 Use-after-free setting text directionality
  + MFSA-2014-71 Profile directory file access through file: protocol
  + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline
  + MFSA-2014-69 Uninitialized memory use during GIF rendering
  + MFSA-2014-68 Use-after-free during DOM interactions with SVG
  + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)

При этом:

  • первая строчка имеет вид - Fixes с опциональным двоеточием
  • строчки после - Fixes имеют отступ и могут начинаться с символов перечисления, таких как +, * и пр.
  • идентификатор уязвимости следует первым в строке после возможных символов перечисления
  • регистр не учитывается

Код парсера

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.