Arch Security Team (Português)
A Equipe de Segurança do Arch é um grupo de voluntários cujo objetivo é rastrear problemas de segurança com pacotes do Arch Linux. Todos os problemas são rastreados no rastreador de segurança do Arch Linux. A equipe era conhecida como Arch CVE Monitoring Team (em português, Equipe de Monitoramento do Arch CVE).
Missão
A missão da Equipe de Segurança do Arch de é contribuir para a melhoria da segurança do Arch Linux.
O dever mais importante da equipe é encontrar e rastrear os problemas atribuídos a Vulnerabilidades e Exposições Comuns (CVE). Um CVE é público, é identificado por um ID único do formulário CVE-AAAA-número.
Eles publicam ASAs (Arch Linux Security Advisory, que significa "Comunicado de Segurança do Arch Linux"), que é um aviso específico do Arch disseminado para os usuários do Arch. Os ASAs estão programados no rastreador para revisão por pares e precisam de duas confirmações dos membros da equipe antes de serem publicados.
O rastreador de segurança do Arch Linux é uma plataforma usada pela Equipe de Segurança do Arch para rastrear pacotes, adicionar CVEs e gerar texto de comunicados.
- Um Arch Linux Vulnerability Group (AVG) é um grupo de CVEs relacionados a um conjunto de pacotes dentro do mesmo pkgbase.
- Pacotes qualificados para um comunicado devem ser parte do repositório core, extra, community ou multilib.
Contribuir
Para se envolver na identificação das vulnerabilidades, é recomendado:
- Seguir o canal IRC #archlinux-security. É o principal meio de comunicação para relatar e discutir CVEs, pacotes afetados e a primeira versão corrigida do pacote.
- Para ser avisado antecipadamente sobre novos problemas, pode-se monitorar as #Listas de discussão recomendadas para novos CVEs, junto com outras fontes, se necessário.
- Encorajamos os voluntários a examinar os avisos por erros, perguntas ou comentários e relatar no canal do IRC.
- Inscrever-se nas listas de discussão arch-security e oss-security.
- Fazer commit de código para o projeto arch-security-tracker (GitHub) é uma ótima forma de contribuir para a equipe.
- As distribuições derivadas que dependem dos repositórios de pacotes do Arch Linux são incentivadas a contribuir. Isso ajuda a segurança de todos os usuários.
Procedimento
O procedimento a seguir sempre que uma vulnerabilidade de segurança foi encontrada em um software empacotado nos repositórios oficiais do Arch Linux é o seguinte:
Fase de investigação e compartilhamento de informações
- Entre em contato com um membro da Equipe de Segurança do Arch por meio de seu canal preferido para garantir que o problema foi levado ao conhecimento da equipe.
- Para substanciar a via mecanismos de pesquisa. Se você precisar de ajuda para investigar o problema de segurança, peça orientação ou suporte no canal do IRC.
Situação do upstream e relatório de erros
Duas situações podem acontecer:
- Se o upstream liberar uma nova versão que corrige o problema, o membro da equipe de segurança deve sinalizar o pacote desatualizado.
- Se o pacote não foi atualizado após um longo período, um relatório de erro deve ser arquivado sobre a vulnerabilidade.
- Se este for um problema de segurança crítico, um relatório de erro deve ser preenchido imediatamente após sinalizar o pacote como desatualizado.
- Se não houver nenhum release upstream disponível, um relatório de erro deve ser preenchido, incluindo os patches para mitigação. As seguintes informações devem ser fornecidas no relatório de erros:
- Descrição sobre o problema de segurança e seu impacto
- Links para os CVE-IDs e (upstream) relatório
- Se nenhum lançamento estiver disponível, links para patches do upstream (ou anexos) que mitigam o problema
Rastreamento e publicação
As seguintes tarefas devem ser executadas pelos membros da equipe:
- Um membro da equipe criará um comunicado no rastreador de segurança e adicionará os CVEs para rastreamento.
- Um membro da equipe com acesso a arch-security gerará um ASA do rastreador e o publicará.
Recursos
RSS
- National Vulnerability Database (NVD)
- Todas as vulnerabilidades de CVE: https://nvd.nist.gov/download/nvd-rss.xml
- Todas as vulnerabilidades de CVE totalmente analisas: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
Listas de discussão
- oss-sec
- Lista principal que trata da segurança do software livre; muitas atribuições CVE acontecem aqui, necessárias se você deseja seguir as notícias de segurança.
- Info: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
- Inscrição: oss-security-subscribe(at)lists.openwall.com
- Arquivo: https://www.openwall.com/lists/oss-security/
- BugTraq
- Uma lista de discussão de full-disclosure* (muitas mensagens).
- Info: https://www.securityfocus.com/archive/1/description
- Inscrição: bugtraq-subscribe(at)securityfocus.com
- Full Disclosure
- Outra lista de discussão de full-disclosure* (muitas mensagens).
- Info: https://nmap.org/mailman/listinfo/fulldisclosure
- Inscrição: full-disclosure-request(at)seclists.org
Considere também seguir as listas de discussão para pacotes específicos, como LibreOffice, X.org, Puppetlabs, ISC, etc.
- full-disclosure, que pode ser traduzido para "divulgação responsável" ou literalmente "revelação total", é a prática de publicação de aálise de vulnerabilidades de software o mais cedo possível, tornando-a acessível para ciência das pessoas e facilitando sua correção.
Outras distribuições
Recursos de outras distribuições (para procurar por CVE, patch, comentários etc.):
- RedHat e Fedora
- Feed de comunicados: https://bodhi.fedoraproject.org/rss/updates/?type=security
- Rastreador de CVE: https://access.redhat.com/security/cve/<CVE-ID>
- Rastreador de erros: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
- Ubuntu
- Feed de comunicados: https://usn.ubuntu.com/usn/atom.xml
- Rastreador de CVE: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
- Banco de dados: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
- Debian
- Rastreador de CVE: https://security-tracker.debian.org/tracker/<CVE-ID>/
- Rastreador de Patch: https://tracker.debian.org/pkg/patch
- Banco de dados: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
- OpenSUSE
- Rastreador de CVE: https://www.suse.com/security/cve/<CVE-ID>/
Outros
- Links de Mitre e NVD para CVEs
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
O NVD e o Mitre não preenchem necessariamente sua entrada no CVE imediatamente após a atribuição, portanto, isso nem sempre é relevante para o Arch. Os campos CVE-ID e "Data Entry Created" não têm significado particular. CVE são atribuídos pelas Autoridades de Numeração CVE (CNA) e cada CNA obtém blocos CVE de Mitre quando necessário/solicitado, portanto, o ID CVE não está vinculado à data de atribuição. O campo "Date Entry Created" geralmente indica apenas quando o bloco CVE foi dado ao CNA, nada mais.
- Linux Weekly News
- LWN fornece uma divulgação diária de atualizações de segurança para várias distribuições.
- https://lwn.net/headlines/newrss
Mais
Para mais recursos, veja o Open Source Software Security Wiki do OpenWall.
Membros da equipe
Veja Arch Security Team para a relação dos atuais membros da Equipe de Segurança do Arch.