Vulnerability Policy
Версия от 19:52, 28 февраля 2017; Lineprinter (обсуждение | вклад)
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости.
- При указании CVE идентификатор должен иметь вид CVE-YYYY-XXXXXX
- При указании OVE идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
- При указании BDU идентификатор должен иметь вид BDU:YYYY-XXXXX
- При указании MFSA идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
- При желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure"
Укороченный формат подобен формату указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
При этом:
- регистр не учитывается
- конструкция обязательно обрамлена скобками
- несколько уязвимостей указываются через запятую, пробельные символы или and
- двоеточие можно не указывать
Расширенный формат имеет вид:
- Fixes: + MFSA-2014-72 Use-after-free setting text directionality + MFSA-2014-71 Profile directory file access through file: protocol + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline + MFSA-2014-69 Uninitialized memory use during GIF rendering + MFSA-2014-68 Use-after-free during DOM interactions with SVG + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)
При этом:
- регистр не учитывается
- строчки после
- Fixes:имеют отступ и могут начинаться с символов перечисления, таких как+,*и пр. - идентификатор уязвимости следует первым в строке после возможных символов перечисления
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.