Product SiteDocumentation Site

Capítulo 7. Infraestrutura do Debian Security

7.1. O time Debian Security
7.2. Debian Security Advisories
7.2.1. Referências sobre vulnerabilidades
7.2.2. Compatibilidade CVE
7.3. Security Tracker
7.4. Infraestrutura da segurança Debian
7.4.1. Guia dos desenvolvedores de atualizações de seguranaça
7.5. Assinatura de pacote no Debian
7.5.1. O esquema proposto para checagem de assinatura dos pacotes
7.5.2. Secure apt
7.5.3. Per distribution release check
7.5.4. Release check of non Debian sources
7.5.5. Esquema alternativo de assinatura per-package

7.1. O time Debian Security

O Debian tem um Security Team (Time de Segurança), composto por cinco membros e duas secretárias que manipulam a segurança na distribuição stable (estável). Manipular a segurança significa que eles acompanham as vulnerabilidades que aparecem nos software (vendo foruns como bugtraq o vuln-dev) e determinam se a distribuição stable é afetada por eles.
Also, the Debian Security Team is the contact point for problems that are coordinated by upstream developers or organizations such as http://www.cert.org which might affect multiple vendors. That is, when problems are not Debian-specific. The contact point of the Security Team is mailto:[email protected] which only the members of the security team read.
Informações sensíveis devem ser enviadas para o primeiro email e, em alguns casos, deve ser encriptada com a Debian Security Contact key (key ID 363CCD95).
Quando um provável problema for recebido pelo Security Team, ele investigará se a distribuição stable foi afetada e, caso positivo, uma correção será feita no código fonte base. Esta correção algumas vezes incluirá algum patch (que normalmente é mais recente que a versão distribuída pelo Debian). Após o teste da correção, novos pacotes são preparados e publicados em security.debian.org e podem ser baixados com o apt (veja Seção 4.2, “Executar uma atualização de segurança”). Ao mesmo tempo um Debian Security Advisory (DSA) é publicado no web site e enviado para a listas de email incluindo lists.debian.org/debian-security-announce e bugtraq.
Outras perguntas frequentes do Debian Security Team podems er encontradas em Seção 12.3, “Questões relacionadas ao time de segurança da Debian”.