Vulnerability Policy

Черновик политики Sisyphus

Автор(ы) — lineprinter@

Указание устраненных уязвимостей в changelog

В changelog должен указываться CVE либо при отсутствии такового -- другой идентификатор устраненной уязвимости:

• при указании CVE идентификатор должен иметь вид CVE-YYYY-XXXXXX
• при указании OVE идентификатор должен иметь вид OVE-YYYYMMDD-XXXX
• при указании BDU идентификатор должен иметь вид BDU:YYYY-XXXXX
• при указании MFSA идентификатор уязвимости должен иметь вид MFSA-YYYY-XX
• при желании указать идентификатор не перечисленного выше вида следует создать багрепорт на "security-tracker" в разделе "Infrastructure".

Укороченный формат подобен формату указания закрытого багрепорта:

(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)

При этом:

• регистр не учитывается
• конструкция обязательно обрамлена скобками
• несколько уязвимостей указываются через запятую, пробельные символы или and
• двоеточие можно не указывать

Расширенный формат имеет вид:

- Fixes:
  + MFSA-2014-72 Use-after-free setting text directionality
  + MFSA-2014-71 Profile directory file access through file: protocol
  + MFSA-2014-70 Out-of-bounds read in Web Audio audio timeline
  + MFSA-2014-69 Uninitialized memory use during GIF rendering
  + MFSA-2014-68 Use-after-free during DOM interactions with SVG
  + MFSA-2014-67 Miscellaneous memory safety hazards (rv:32.0 / rv:31.1 / rv:24.8)

При этом:

• регистр не учитывается
• строчки после - Fixes: имеют отступ и могут начинаться с символов перечисления, таких как +, * и пр.
• идентификатор уязвимости следует первым в строке после возможных символов перечисления

Код парсера

Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.