Arch Security Team (简体中文)

From ArchWiki
翻译状态:本文是 Arch Security Team翻译。上次翻译日期:2020-05-03。如果英文版本有所更改,则您可以帮助同步翻译。

Arch 安全团队是一组志愿者,其目标是使用Arch Linux软件包跟踪安全问题。所有问题都在 Arch Linux security tracker上进行跟踪。该团队以前称为 Arch CVE Monitoring Team.

任务

Arch 安全团队的任务是为提高 Arch Linux 的安全性做出贡献。

团队最重要的职责是查找和跟踪分配了常见漏洞和披露(CVE)的问题。CVE 是公共的,由 CVE-YYYY-number 形式的唯一 ID 标识。

他们发布了 ASA(Arch Linux Security Advisory),这是向 Arch 用户分发的特定于 Arch 的警告。ASA 已在跟踪器中安排进行同行评审,并且在发布之前需要团队成员的两次确认。

Arch Linux security tracker 使用的是安全团队跟踪包,增加的 CVE 和生成文本咨询的平台。

注意:
  • 一个 Arch Linux Vulnerability Group (AVG) 是一组涉及相同内的一组包的 CVE 的 pkgbase
  • 符合咨询条件的软件包必须是 coreextracommunitymultilib 存储库的一部分。

贡献

为了参与漏洞的识别,建议:

  • 遵循 #archlinux-security IRC 频道。它是报告和讨论 CVE,受影响的软件包以及第一个固定软件包版本的主要沟通媒介。
  • 为了及早收到有关新问题的警告,可以监视建议的 #邮件列表 以获取新的 CVE,并根据需要监视其他来源。
  • 我们鼓励志愿者查看咨询中的错误,问题或评论,并在 IRC 频道中进行报告。
  • 订阅邮件列表 arch-securityoss-security
  • 将代码提交给 arch-security-tracker (GitHub) 项目是为团队做出贡献的好方法。
  • 鼓励依赖 Arch Linux 软件包系统信息库的派生发行版做出贡献。这有助于所有用户的安全。

程序

在 Arch Linux 官方存储库中的软件包中发现安全漏洞时,应遵循以下步骤:

信息共享和调查阶段

  • 通过您首选的渠道与 Arch 安全团队成员接触,以确保该问题已引起团队注意。
  • 为了证实该漏洞,请针对当前程序包版本(包括可能的补丁程序)验证 CVE 报告,并通过搜索引擎收集有关此问题的尽可能多的信息。如果您需要帮助调查安全问题,请在 IRC 频道上寻求建议或支持。

上游情况和错误报告

可能出现两种情况:

  • 如果上游发布了可解决此问题的新版本,则安全团队成员应将该软件包标记为过期。
    • 如果经过长时间的延迟仍未更新软件包,则应提交有关该漏洞的错误报告。
    • 如果这是一个关键的安全问题,则必须在将软件包标记为过期后立即提交错误报告。
  • 如果没有上游发行,则必须提交错误报告,其中包括用于缓解问题的补丁。错误报告中必须提供以下信息:
    • 有关安全问题及其影响的描述
    • 链接到 CVE-ID 和(上游)报告
    • 如果没有可用的版本,请链接到可缓解此问题的上游修补程序(或附件)

跟踪和发布

团队成员必须执行以下任务:

  • 团队成员将在 security tracker 上创建建议,并添加 CVE 进行跟踪。
  • 具有访问 arch-security 权限的团队成员将从跟踪器生成 ASA 并将其发布。
注意: 如果要报告私有错误,请联系 [email protected]。请注意,私有错误报告的地址是 security,而不是 arch-security。私有错误是一个过于敏感的问题,无法发布到任何人都可以阅读和利用的地方,例如 Arch Linux 基础架构中的漏洞。

资源

RSS

National Vulnerability Database (NVD)
所有 CVE 漏洞:https://nvd.nist.gov/download/nvd-rss.xml
所有经过全面分析的 CVE 漏洞:https://nvd.nist.gov/download/nvd-rss-analyzed.xml

邮件列表

oss-sec:有关自由软件安全性的主要列表,如果您想了解安全新闻,则此处会包含很多 CVE 属性。
信息:https://oss-security.openwall.org/wiki/mailing-lists/oss-security
订阅:oss-security-subscribe(at)lists.openwall.com
存档:https://www.openwall.com/lists/oss-security/
完整的披露审核邮件列表(杂乱)。
信息:https://www.securityfocus.com/archive/1/description
订阅:bugtraq-subscribe(at)securityfocus.com
Full Disclosure:另一个全披露的邮件列表(杂乱)。
信息:https://nmap.org/mailman/listinfo/fulldisclosure
订阅:full-disclosure-request(at)seclists.org

还可以考虑遵循特定软件包的邮件列表,例如 LibreOffice, X.org, Puppetlabs, ISC等。

其他发行版

其他发行版的资源(查找CVE,补丁,注释等):

RedHat 和 Fedora
咨询提要:https://bodhi.fedoraproject.org/rss/updates/?type=security
CVE 跟踪器:https://access.redhat.com/security/cve/<CVE-ID>
错误跟踪器:https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
Ubuntu
咨询供稿:https://usn.ubuntu.com/usn/atom.xml
CVE 跟踪器:https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
数据库:https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
Debian
CVE 跟踪器:https://security-tracker.debian.org/tracker/<CVE-ID>/
补丁追踪器:https://tracker.debian.org/pkg/patch
数据库:https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
OpenSUSE
CVE 跟踪器:https://www.suse.com/security/cve/<CVE-ID>/

其他

CVE 的 Mitre 和 NVD 链接
https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

NVD 和 Mitre 不一定在归属后立即填写其 CVE 条目,因此与 Arch 并不总相关。CVE-ID 和“创建日期条目”字段没有特殊含义。CVE 由 CVE 编号颁发机构(CNA)归属,每个 CNA 在需要/提出要求时从 Mitre 获取 CVE 块,因此 CVE ID 未链接到归属日期。“创建日期条目”字段通常仅指示将 CVE 块分配给 CNA 的时间,仅此而已。

Linux Weekly News:LWN 每天为各种发行版提供安全更新通知。
https://lwn.net/headlines/newrss

更多

有关更多资源,请参见 OpenWall 的 开源软件安全性 Wiki.

团队成员

Arch 安全团队的当前成员是:

注意:IRC 频道中运行 !pingsec <msg>,以突出显示当前所有安全团队成员。