[gentoo-commits] gentoo commit in xml/htdocs/security/it: vulnerability-policy.xml - gentoo-commits

From:	"Davide Cendron (scen)" <scen@g.o>
To:	gentoo-commits@l.g.o
Subject:	[gentoo-commits] gentoo commit in xml/htdocs/security/it: vulnerability-policy.xml
Date:	Thu, 28 May 2009 20:05:50
Message-Id:	`E1M9lrI-0008SW-8m@stork.gentoo.org`

1

scen        09/05/28 20:05:48

2

3

  Modified:             vulnerability-policy.xml

4

  Log:

5

  Version 1.2.7, revision 1.21 of EN CVS

6

7

Revision  Changes    Path

8

1.6                  xml/htdocs/security/it/vulnerability-policy.xml

9

10

file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&view=markup

11

plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&content-type=text/plain

12

diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?r1=1.5&r2=1.6

13

14

Index: vulnerability-policy.xml

15

===================================================================

16

RCS file: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v

17

retrieving revision 1.5

18

retrieving revision 1.6

19

diff -u -r1.5 -r1.6

20

--- vulnerability-policy.xml	22 Feb 2008 21:44:31 -0000	1.5

21

+++ vulnerability-policy.xml	28 May 2009 20:05:48 -0000	1.6

22

@@ -1,6 +1,6 @@

23

 <?xml version='1.0' encoding="UTF-8"?>

24

 <!DOCTYPE guide SYSTEM "/dtd/guide.dtd">

25

-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.5 2008/02/22 21:44:31 scen Exp $ -->

26

+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.6 2009/05/28 20:05:48 scen Exp $ -->

27

28

 <guide link="/security/it/vulnerability-policy.xml" lang="it">

29

 <title>Politiche di gestione delle vulnerabilità in Gentoo Linux</title>

30

@@ -14,6 +14,9 @@

31

 <author title="Autore">

32

   <mail link="vorlon@g.o">Matthias Geerdsen</mail>

33

 </author>

34

+<author title="Autore">

35

+  <mail link="rbu@g.o">Robert Buchholz</mail>

36

+</author>

37

 <author title="Traduzione">

38

   <mail link="walpis@×××××.it">Walter Pisani</mail>

39

 </author>

40

@@ -30,8 +33,8 @@

41

 <!-- See http://creativecommons.org/licenses/by-sa/1.0 -->

42

 <license/>

43

44

-<version>1.2.6</version>

45

-<date>2008-02-13</date>

46

+<version>1.2.7</version>

47

+<date>2009-04-14</date>

48

49

 <chapter>

50

 <title>Scopo</title>

51

@@ -74,28 +77,28 @@

52

53

 <table>

54

 <tr>

55

-  <th>Architetture supportate</th>

56

+  <th>Architetture supportate (in ordine alfabetico)</th>

57

 </tr>

58

 <tr>

59

-  <ti>x86</ti>

60

+  <ti>alpha</ti>

61

 </tr>

62

 <tr>

63

-  <ti>ppc</ti>

64

+  <ti>amd64</ti>

65

 </tr>

66

 <tr>

67

-  <ti>sparc</ti>

68

+  <ti>hppa</ti>

69

 </tr>

70

 <tr>

71

-  <ti>amd64</ti>

72

+  <ti>ppc</ti>

73

 </tr>

74

 <tr>

75

-  <ti>alpha</ti>

76

+  <ti>ppc64</ti>

77

 </tr>

78

 <tr>

79

-  <ti>ppc64</ti>

80

+  <ti>sparc</ti>

81

 </tr>

82

 <tr>

83

-  <ti>hppa</ti>

84

+  <ti>x86</ti>

85

 </tr>

86

 </table>

87

88

@@ -108,9 +111,10 @@

89

 <ul>

90

   <li>

91

     Designare uno sviluppatore come punto principale di contatto per le

92

-    pubblicazioni sulla sicurezza relative alla sua architettura: questa persona

93

-    sarà vista come il responsabile che deve garantire che i bug di sicurezza

94

-    siano adeguatamente risolti sulla loro particolare architettura

95

+    pubblicazioni sulla sicurezza (Referente per la Sicurezza dell'Architettura)

96

+    relative alla sua architettura. Questa persona ha la responsabilità di

97

+    garantire che i bug di sicurezza siano adeguatamente risolti sulla loro

98

+    particolare architettura

99

   </li>

100

   <li>

101

     Aderire all'osservanza delle scadenze pubblicate per i test e la marcatura

102

@@ -191,7 +195,7 @@

103

104

<p>

105

 Ogni vulnerabilità deve inizialmente essere inserita in <uri

106

-link="http://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e

107

+link="https://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e

108

 componente "Vulnerabilities" (assegnato a <mail

109

 link="security@g.o">security@g.o</mail>). Le maggiori liste di

110

 sicurezza devono avere delle persone che ufficialmente verificano che tutte le

111

@@ -331,14 +335,15 @@

112

 </tr>

113

 <tr>

114

   <ti>

115

-    Compromissione di servizi globali: blocco di servizi, completa perdita di

116

-    password o database...

117

+    Compromissione di servizi globali: blocco di servizi, completa sottrazione

118

+    di password, database, perdita di dati (attacchi tramite collegamenti

119

+    simbolici...)

120

   </ti>

121

   <ti>3</ti>

122

   <ti>normal (normale)</ti>

123

 </tr>

124

 <tr>

125

-  <ti>Altro: cross-site-scripting, perdita di informazioni...</ti>

126

+  <ti>Altro: Cross-Site Scripting, sottrazione di informazioni...</ti>

127

   <ti>4</ti>

128

   <ti>low (basso)</ti>

129

 </tr>

130

@@ -411,7 +416,7 @@

131

 "attaccabrighe", in questo caso è colui che deve gestire per primo i bug report

132

 non assegnati in modo specifico) dei bug di sicurezza ed eseguire i seguenti

133

 passi in caso di nuove vulnerabilità in <uri

134

-link="http://bugs.gentoo.org">Bugzilla</uri>:

135

+link="https://bugs.gentoo.org">Bugzilla</uri>:

136

 </p>

137

138

 <ul>

139

@@ -448,6 +453,18 @@

140

     severità

141

   </li>

142

   <li>

143

+    Inserire nel campo CC del bug i mantenitori del pacchetto in base alle

144

+    informazioni contenute nel file metadata del pacchetto stesso

145

+  </li>

146

+  <li>

147

+    impostare il campo URL con l'indirizzo del relativo bug upstream o a

148

+    qualcosa di simile

149

+  </li>

150

+  <li>

151

+    cercare identificatori CVE riservati o assegnati e aggiungerli al titolo del

152

+    bug, altrimenti richiedere un CVE

153

+  </li>

154

+  <li>

155

     opzionalmente assegnare un coordinatore GLSA al bug, e aggiungere il nome

156

     del coordinatore nel campo "Status Whiteboard"

157

   </li>

158

@@ -501,9 +518,8 @@

159

   </li>

160

   <li>

161

     se la correzione è disponibile, impegnare il  mantenitore del pacchetto a

162

-    produrre e scrivere un ebuild contenente la correzione (il

163

-    mantenitore/gruppo del pacchetto deve essere in cc sul bug) e aggiornare

164

-    il campo "Status Whiteboard" a <c>ebuild</c>

165

+    produrre e effettuare il commit di un'ebuild contenente la correzione

166

+    aggiornando il campo "Status Whiteboard" a <c>ebuild</c>

167

   </li>

168

   <li>

169

     una volta effettuato il commit dell'ebuild, valutare le keyword necessarie

170

@@ -622,12 +638,9 @@

171

172

<p>

173

 Se una vulnerabilità <e>blocker</e> o <e>critical</e> o <e>major</e> non può

174

-essere totalmente corretta nel tempo indicato (per esempio: una vulnerabilità

175

-del kernel che deve essere corretta su tutti i sorgenti), un allarme immediato

176

-GLSA deve essere scritta con le informazioni su cosa fare. (per esempio:

177

-installare vanilla-sources, o c'è una patch del kernel da applicare ai propri

178

-sorgente). Questa GLSA sarà sostituita da una GLSA finale nel momento in cui la

179

-correzione definitiva sarà disponibile.

180

+essere totalmente corretta nel tempo indicato un allarme immediato GLSA deve

181

+essere scritta con le informazioni su cosa fare. Questa GLSA sarà sostituita da

182

+una GLSA finale nel momento in cui la correzione definitiva sarà disponibile.

183

 </p>

184

185

<p>

186

@@ -684,7 +697,8 @@

187

 <tr>

188

   <ti>Gentoo Linux official announcement mailing-list</ti>

189

   <ti>

190

-    <mail link="gentoo-announce@g.o">gentoo-announce@g.o</mail>

191

+    <mail link="gentoo-announce@l.g.o">

192

+    gentoo-announce@l.g.o</mail>

193

   </ti>

194

 </tr>

195

 <tr>

196

@@ -703,7 +717,11 @@

197

 </tr>

198

 <tr>

199

   <ti>Linuxsecurity.com advisories service</ti>

200

-  <ti><mail link="alerts@×××××××××××××.com">alerts@×××××××××××××.com</mail></ti>

201

+  <ti>

202

+    <mail

203

+    link="security-alerts@×××××××××××××.com">security-alerts@×××××××××××××.com

204

+    </mail>

205

+  </ti>

206

 </tr>

207

 <tr>

208

   <ti>Gentoo Linux announcement forum</ti>

1	scen 09/05/28 20:05:48
2
3	Modified: vulnerability-policy.xml
4	Log:
5	Version 1.2.7, revision 1.21 of EN CVS
6
7	Revision Changes Path
8	1.6 xml/htdocs/security/it/vulnerability-policy.xml
9
10	file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&view=markup
11	plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&content-type=text/plain
12	diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?r1=1.5&r2=1.6
13
14	Index: vulnerability-policy.xml
15	===================================================================
16	RCS file: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v
17	retrieving revision 1.5
18	retrieving revision 1.6
19	diff -u -r1.5 -r1.6
20	--- vulnerability-policy.xml 22 Feb 2008 21:44:31 -0000 1.5
21	+++ vulnerability-policy.xml 28 May 2009 20:05:48 -0000 1.6
22	@@ -1,6 +1,6 @@
23	<?xml version='1.0' encoding="UTF-8"?>
24	<!DOCTYPE guide SYSTEM "/dtd/guide.dtd">
25	-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.5 2008/02/22 21:44:31 scen Exp $ -->
26	+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.6 2009/05/28 20:05:48 scen Exp $ -->
27
28	<guide link="/security/it/vulnerability-policy.xml" lang="it">
29	<title>Politiche di gestione delle vulnerabilità in Gentoo Linux</title>
30	@@ -14,6 +14,9 @@
31	<author title="Autore">
32	<mail link="vorlon@g.o">Matthias Geerdsen</mail>
33	</author>
34	+<author title="Autore">
35	+ <mail link="rbu@g.o">Robert Buchholz</mail>
36	+</author>
37	<author title="Traduzione">
38	<mail link="walpis@×××××.it">Walter Pisani</mail>
39	</author>
40	@@ -30,8 +33,8 @@
41	<!-- See http://creativecommons.org/licenses/by-sa/1.0 -->
42	<license/>
43
44	-<version>1.2.6</version>
45	-<date>2008-02-13</date>
46	+<version>1.2.7</version>
47	+<date>2009-04-14</date>
48
49	<chapter>
50	<title>Scopo</title>
51	@@ -74,28 +77,28 @@
52
53	<table>
54	<tr>
55	- <th>Architetture supportate</th>
56	+ <th>Architetture supportate (in ordine alfabetico)</th>
57	</tr>
58	<tr>
59	- <ti>x86</ti>
60	+ <ti>alpha</ti>
61	</tr>
62	<tr>
63	- <ti>ppc</ti>
64	+ <ti>amd64</ti>
65	</tr>
66	<tr>
67	- <ti>sparc</ti>
68	+ <ti>hppa</ti>
69	</tr>
70	<tr>
71	- <ti>amd64</ti>
72	+ <ti>ppc</ti>
73	</tr>
74	<tr>
75	- <ti>alpha</ti>
76	+ <ti>ppc64</ti>
77	</tr>
78	<tr>
79	- <ti>ppc64</ti>
80	+ <ti>sparc</ti>
81	</tr>
82	<tr>
83	- <ti>hppa</ti>
84	+ <ti>x86</ti>
85	</tr>
86	</table>
87
88	@@ -108,9 +111,10 @@
89	<ul>
90	<li>
91	Designare uno sviluppatore come punto principale di contatto per le
92	- pubblicazioni sulla sicurezza relative alla sua architettura: questa persona
93	- sarà vista come il responsabile che deve garantire che i bug di sicurezza
94	- siano adeguatamente risolti sulla loro particolare architettura
95	+ pubblicazioni sulla sicurezza (Referente per la Sicurezza dell'Architettura)
96	+ relative alla sua architettura. Questa persona ha la responsabilità di
97	+ garantire che i bug di sicurezza siano adeguatamente risolti sulla loro
98	+ particolare architettura
99	</li>
100	<li>
101	Aderire all'osservanza delle scadenze pubblicate per i test e la marcatura
102	@@ -191,7 +195,7 @@
103
104	<p>
105	Ogni vulnerabilità deve inizialmente essere inserita in <uri
106	-link="http://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e
107	+link="https://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e
108	componente "Vulnerabilities" (assegnato a <mail
109	link="security@g.o">security@g.o</mail>). Le maggiori liste di
110	sicurezza devono avere delle persone che ufficialmente verificano che tutte le
111	@@ -331,14 +335,15 @@
112	</tr>
113	<tr>
114	<ti>
115	- Compromissione di servizi globali: blocco di servizi, completa perdita di
116	- password o database...
117	+ Compromissione di servizi globali: blocco di servizi, completa sottrazione
118	+ di password, database, perdita di dati (attacchi tramite collegamenti
119	+ simbolici...)
120	</ti>
121	<ti>3</ti>
122	<ti>normal (normale)</ti>
123	</tr>
124	<tr>
125	- <ti>Altro: cross-site-scripting, perdita di informazioni...</ti>
126	+ <ti>Altro: Cross-Site Scripting, sottrazione di informazioni...</ti>
127	<ti>4</ti>
128	<ti>low (basso)</ti>
129	</tr>
130	@@ -411,7 +416,7 @@
131	"attaccabrighe", in questo caso è colui che deve gestire per primo i bug report
132	non assegnati in modo specifico) dei bug di sicurezza ed eseguire i seguenti
133	passi in caso di nuove vulnerabilità in <uri
134	-link="http://bugs.gentoo.org">Bugzilla</uri>:
135	+link="https://bugs.gentoo.org">Bugzilla</uri>:
136	</p>
137
138	<ul>
139	@@ -448,6 +453,18 @@
140	severità
141	</li>
142	<li>
143	+ Inserire nel campo CC del bug i mantenitori del pacchetto in base alle
144	+ informazioni contenute nel file metadata del pacchetto stesso
145	+ </li>
146	+ <li>
147	+ impostare il campo URL con l'indirizzo del relativo bug upstream o a
148	+ qualcosa di simile
149	+ </li>
150	+ <li>
151	+ cercare identificatori CVE riservati o assegnati e aggiungerli al titolo del
152	+ bug, altrimenti richiedere un CVE
153	+ </li>
154	+ <li>
155	opzionalmente assegnare un coordinatore GLSA al bug, e aggiungere il nome
156	del coordinatore nel campo "Status Whiteboard"
157	</li>
158	@@ -501,9 +518,8 @@
159	</li>
160	<li>
161	se la correzione è disponibile, impegnare il mantenitore del pacchetto a
162	- produrre e scrivere un ebuild contenente la correzione (il
163	- mantenitore/gruppo del pacchetto deve essere in cc sul bug) e aggiornare
164	- il campo "Status Whiteboard" a <c>ebuild</c>
165	+ produrre e effettuare il commit di un'ebuild contenente la correzione
166	+ aggiornando il campo "Status Whiteboard" a <c>ebuild</c>
167	</li>
168	<li>
169	una volta effettuato il commit dell'ebuild, valutare le keyword necessarie
170	@@ -622,12 +638,9 @@
171
172	<p>
173	Se una vulnerabilità <e>blocker</e> o <e>critical</e> o <e>major</e> non può
174	-essere totalmente corretta nel tempo indicato (per esempio: una vulnerabilità
175	-del kernel che deve essere corretta su tutti i sorgenti), un allarme immediato
176	-GLSA deve essere scritta con le informazioni su cosa fare. (per esempio:
177	-installare vanilla-sources, o c'è una patch del kernel da applicare ai propri
178	-sorgente). Questa GLSA sarà sostituita da una GLSA finale nel momento in cui la
179	-correzione definitiva sarà disponibile.
180	+essere totalmente corretta nel tempo indicato un allarme immediato GLSA deve
181	+essere scritta con le informazioni su cosa fare. Questa GLSA sarà sostituita da
182	+una GLSA finale nel momento in cui la correzione definitiva sarà disponibile.
183	</p>
184
185	<p>
186	@@ -684,7 +697,8 @@
187	<tr>
188	<ti>Gentoo Linux official announcement mailing-list</ti>
189	<ti>
190	- <mail link="gentoo-announce@g.o">gentoo-announce@g.o</mail>
191	+ <mail link="gentoo-announce@l.g.o">
192	+ gentoo-announce@l.g.o</mail>
193	</ti>
194	</tr>
195	<tr>
196	@@ -703,7 +717,11 @@
197	</tr>
198	<tr>
199	<ti>Linuxsecurity.com advisories service</ti>
200	- <ti><mail link="alerts@×××××××××××××.com">alerts@×××××××××××××.com</mail></ti>
201	+ <ti>
202	+ <mail
203	+ link="security-alerts@×××××××××××××.com">security-alerts@×××××××××××××.com
204	+ </mail>
205	+ </ti>
206	</tr>
207	<tr>
208	<ti>Gentoo Linux announcement forum</ti>

Gentoo Archives: gentoo-commits