Vulnerability Policy: различия между версиями
мНет описания правки |
мНет описания правки |
||
| Строка 7: | Строка 7: | ||
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) | (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) | ||
При этом: | |||
* регистр не учитывается | * регистр не учитывается | ||
* обязательно | * конструкция обязательно обрамлена скобками | ||
* несколько уязвимостей указываются через запятую, пробел или and | * несколько уязвимостей указываются через запятую, пробел или and | ||
* двоеточие можно не указывать | * двоеточие можно не указывать | ||
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее. | Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее. | ||
Версия от 19:29, 21 февраля 2017
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
При этом:
- регистр не учитывается
- конструкция обязательно обрамлена скобками
- несколько уязвимостей указываются через запятую, пробел или and
- двоеточие можно не указывать
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.