-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 - --- english/security/disclosure-policy.wml 2020-05-06 20:41:17.485346701 +0500 +++ russian/security/disclosure-policy.wml 2020-06-23 11:15:40.859850873 +0500 @@ -1,103 +1,105 @@ - -#use wml::debian::template title="Debian Vulnerability Disclosure Policy" +#use wml::debian::template title="Политика раскрытия информации об уязвимостях Debian" +#use wml::debian::translation-check translation="5a5aa2dd64b9f93c369cb9c01eafa0bef14dafa8" maintainer="Lev Lamberov" - -This document is the vulnerability disclosure and embargo policy of the - -Debian project, - -as required by Debian's status as a CVE Numbering Authority +Данный документ является политикой раскрытия информации об уязвимостях и политикой эмбарго +Проекта Debian, +поскольку такой документ требуется в соответствии со статусом Debian как организации, +назначающей идентификаторы CVE (Sub-CNA, <a href="https://cve.mitre.org/cve/cna/rules.html#section_2-3_record_management_rules">rule 2.3.3</a>). - -Please also consult the <a href="faq">Security Team FAQ</a> for - -additional information on Debian security procedures. +За дополнительной информацией о безопасности в Debian обращайтесь к +<a href="faq">ЧАВО команды безопасности</a>. - -<h2>General Process</h2> +<h2>Общий процесс</h2> - -<p>The Debian security team will typically get back to vulnerability - -reporters within several days. (See the FAQ entries for - -<a href="faq#contact">contacting the security team</a> - -and <a href="faq#discover">reporting vulnerabilities</a>.) - - - -<p>Most of the software that is part of the Debian operating system - -has not been specifically written for Debian. The Debian operating - -system as a whole also serves as a the foundation for other GNU/Linux - -distributions. This means that most vulnerabilities affecting Debian - -also affect other distributions, and, in many cases, commercial - -software vendors. As a result, the disclosure of vulnerabilities has - -to be coordinated with other parties, not just the reporter and Debian - -itself.</p> - - - -<p>One forum for such coordination is the - -<a href="https://oss-security.openwall.org/wiki/mailing-lists/distros">distros list</a>. - -The Debian security team expects that experienced security - -researchers contact the distros list and affected upstream projects - -directly. The Debian security team will provide assistance to other - -reporters as needed. Before involving third parties, permission from - -reporters is obtained.</p> - - - -<h2>Timelines</h2> - - - -<p>As mentioned at the start, acknowledgment via email of the initial - -report is expected to take several days at most.</p> - - - -<p>Since addressing most vulnerabilities in Debian software requires - -coordination among several parties (upstream developers, other - -distributions), the time between initial report of a vulnerability and - -its public disclosure varies a lot depending on the software and - -organizations involved.</p> - - - -<p>The distros list limits embargo periods (time between initial - -report and disclosure) to two weeks. However, longer periods are not - -uncommon, with additional coordination before sharing with the distros - -list, to accommodate vendors with monthly or even quarterly release - -cycles. Addressing Internet protocol vulnerabilities can take even - -longer than that, and so does developing attempts to mitigate hardware - -vulnerabilities in software.</p> - - - -<h2>Avoiding Embargoes</h2> - - - -<p>Since coordination in private tends to cause a lot of friction and - -makes it difficult to involve the right subject matter experts, Debian - -will encourage public disclosure of vulnerabilities even before a fix - -has been developed, except when such an approach would clearly - -endanger Debian users and other parties.</p> - - - -<p>The Debian security team will often ask reporters of - -vulnerabilities to file public bug reports in the appropriate bug - -tracker(s) (such as the <a href="../Bugs/">Debian - -bug tracking system</a>), providing assistance as needed.</p> - - - -<p>An embargo is not needed for CVE assignment or credit in a security - -advisory.</p> - - - -<h2>CVE Assignment</h2> - - - -<p>Debian, as a sub-CNA, only assigns CVE IDs for Debian - -vulnerabilities. If a reported vulnerability does not meet this - -criterion and is therefore out of scope for the Debian CNA, the Debian - -security team will either arrange for CVE ID assignment from other - -CNAs, or guide the reporter on submitting their own request for a CVE - -ID.</p> - - - -<p>A CVE assignment by the Debian CNA will be made public with the - -publication of the Debian Security Advisory, or when the bug is filed - -in the appropriate bug tracker(s).</p> - - - -<h2>Vulnerability vs regular bug</h2> - - - -<p>Due to the wide range of software that is part of the Debian - -operating system, it is not possible to provide guidance what - -constitutes a security vulnerability and what is just an ordinary - -software bug. When in doubt, please contact the Debian security - -team.</p> - - - -<h2>Bug Bounty Program</h2> - - - -<p>Debian does not offer a bug bounty program. Independent parties may - -encourage reporters to contact them about vulnerabilities in the - -Debian operating system, but they are not endorsed by the Debian - -project.</p> - - - -<h2>Debian Infrastructure Vulnerabilities</h2> - - - -<p>Reports of vulnerabilities in Debian infrastructure itself are - -handled in the same way. If the infrastructure vulnerability is not - -the result of a misconfiguration, but a vulnerability in the software - -being used, the usual multi-party coordination is required, with - -similar time frames as described above.</p> +<p>Команда безопасности Debian обычно связывается с пользователями, сообщившими об +уязвимости в течение нескольких дней. (См. ответы в ЧАВО о том, +<a href="faq#contact">как связаться с командой безопасности</a>, +и том, <a href="faq#discover">как сообщить об уязвимостях</a>.) + +<p>Большая часть ПО, являющегося частью операционной системы Debian, +не была написана специально для Debian. Операционная система Debian +в целом так же служит основой для других дистрибутивов GNU/Linux. +Это означает, что большинство уязвимостей, касающихся Debian, +так же касается и других дистрибутивов, а во многих случаях и коммерческих +поставщиков ПО. Как следствие раскрытие уязвимостей должно +координироваться с другими участниками, а не просто тем, кто сообщает +об уязвимости, и самим Проектом Debian.</p> + +<p>Одним из мест для такой координации является +<a href="https://oss-security.openwall.org/wiki/mailing-lists/distros">список +рассылки для дистрибутивов</a>. Команда безопасности Debian ожидает, что опытные +исследователи безопасности будут связываться с дистрибутивами через этот список +рассылки и напрямую с подверженными уязвимостям проектами ПО. Команда безопасности +Debian предоставит помощь другим пользователям, сообщающим об уязвимостях, если +это потребуется. До подключения к взаимодействию третьих сторон будет +получено разрешение от пользователей, сообщающих об уязвимостях.</p> + +<h2>Информация о сроках</h2> + +<p>Как указано в начале настоящего документа, сообщение о подтверждении изначального +сообщения об уязвимости следует ожидать не более, чем через несколько дней.</p> + +<p>Поскольку разрешение большинства уязвимостей в ПО из состава Debian требует +координации между несколькими сторонами (разработчики основной ветки разработки, другие +дистрибутивы), время между изначальным сообщением об уязвимости и его раскрытием +может сильно варьироваться в зависимости от участвующих в этом процессе организаций +и ПО.</p> + +<p>Список рассылки дистрибутивов ограничивает период эмбарго (время между изначальным +сообщением и его раскрытием) двумя неделями. Тем не менее более длительным периоды +не являются чем-то необычным, однако раскрытие предполагает координацию через список +рассылки дистрибутивов с той целью, чтобы подстроиться под ежемесячный или ежеквартальный +график выпуска ПО поставщиками. Разрешение уязвимостей в Internet-протоколах может +потребовать большего времени, также большее время требуется на разработку способов +снижения рисков от уязвимостей в оборудовании с помощью изменения ПО.</p> + +<h2>Избегание эмбарго</h2> + +<p>Поскольку координация в частном порядке зачастую приводит к большому числу +конфликтов и затрудняет участие экспертов по конкретным вопросам, Debian +рекомендует раскрытие информации об уязвимостях даже до разработки +исправления, за исключением тех случае, когда такой подход может явно +навредить пользователям Debian и другим сторонам.</p> + +<p>Команда безопасности Debian часто просит пользователей, сообщающих об +уязвимостях, отправлять открытые сообщения об ошибках в соответствующую систему +отслеживания ошибок (такую как <a href="../Bugs/">система отслеживания +ошибок Debian</a>) и в случае необходимости предоставляет помощь.</p> + +<p>Для назначения идентификатора CVE или указания того, кто обнаружил ошибку, +соблюдать эмбарго не требуется.</p> + +<h2>Назначение идентификатора CVE</h2> + +<p>Debian, будучи младшим уполномоченным органом CVE (sub-CNA), назначает идентификаторы +CVE лишь для уязвимостей Debian. Если уязвимость, о которой было сообщено, не удовлетворяет +данному критерию и выходит за пределы сферы действия Debian CNA, то команда безопасности +Debian либо примет меры для назначения идентификатора CVE от другой CNA, либо поможет пользователю, +сообщившему об уязвимости, подать собственный запрос для назначения идентификатора CVE.</p> + +<p>Назначение идентификатора CVE через Debian CNA будет раскрыто одновременно с +публикацией рекомендации по безопасности Debian или с открытием сообщения +об ошибке в соответствующей системе отслеживания ошибок.</p> + +<h2>Уязвимости и обычные ошибки</h2> + +<p>Из-за того, что в Debian присутствует широкий спектр различного ПО, +нельзя предоставить какие-либо методологические рекомендации по поводу +определения того, что является уязвимостью, а что является обычной +ошибкой ПО. Если вы сомневаетесь в том, с чем вы столкнулись, то +свяжитесь по этому поводу с командной безопасности Debian.</p> + +<h2>Программа поощрений за обнаружение ошибок</h2> + +<p>Debian не предлагает какую-либо программу поощрений за обнаружение ошибок. +Независимые стороны могут стимулировать пользователей связываться с ними по +поводу уязвимостей в операционной системе Debian, но они не подтверждены +Проектом Debian.</p> + +<h2>Уязвимости инфраструктуры Debian</h2> + +<p>Сообщения об уязвимостях в инфраструктуре Debian обрабатываются точно +так же. Если уязвимость в инфраструктуре не является результатом неправильной +настройки, а уязвимостью в используемом ПО, то требуется обычная +координация нескольких сторон по описанным выше процедурам и с тем же +распределением по времени.</p> -----BEGIN PGP SIGNATURE-----
iQIzBAEBCgAdFiEE3mumcdV9mwCc9oZQXudu4gIW0qUFAl7xnkYACgkQXudu4gIW 0qU0ixAAn+udfeY+SEC0PSm/K8JWl3vXM5EM+3H2vCAMK41fkx0cZyH1Fu8hb2Fm wGDiR7Tq6NW9ijguuNL8wTDn69zl3C4T+11lNSMj4ttdF/BXxboubqa9dHJppndi 7m8yJH26hDDp05KKqGzjXkkYUmy/M2Rz/8PdMn70kVruRM6bzVCGco8N+dCEA63h QiE6aRR0VeFtslueM4cRLBi/dVCWpVJ9bqkTg++MEJ6UlJq4LuUOrL6mzumDz7qq CGE8HB7uDd5LaOpZYEOxYx5KDY4Ei8ePBb4fsqOgIEDrPq8d8Sk+gvY35owkb8yh QVXU0usvF4gLgZ3j/g7MG8THe+ljVMWBZadxafRCRySRzCPSslxAuPpDPsF0NY9+ Qsm5Bs8Ut4GDXijlWxBprVlcCeTZIaMomw+dgdaOFNKdlFrcy1YNt+OmH1jv+LAV JFC+PfbcpWZJ8IhEUeUYhfC8uqN8DNp5aLFJWvtdXvizfbEmZa1bBq3HC68O/6Fv tgxivVI4aPIpa10S/JCqj3p+v8e/sLgDEBezkd8RwdNUa1HHg/wkoEFzKPEjy2ud HQ8jgoIINsmd/n/KoJHEr9T4ce1xupoLHaAo4FVeKVRkHfZcXXF9gtNqgcZsXpDB qNxzAdCPP+8DuWaAU4C82OPz5Q26h9fe7pDPxXxQD69is8czeEM= =gEjf -----END PGP SIGNATURE-----