1 |
scen 09/05/28 20:05:48 |
2 |
|
3 |
Modified: vulnerability-policy.xml |
4 |
Log: |
5 |
Version 1.2.7, revision 1.21 of EN CVS |
6 |
|
7 |
Revision Changes Path |
8 |
1.6 xml/htdocs/security/it/vulnerability-policy.xml |
9 |
|
10 |
file : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&view=markup |
11 |
plain: http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?rev=1.6&content-type=text/plain |
12 |
diff : http://sources.gentoo.org/viewcvs.py/gentoo/xml/htdocs/security/it/vulnerability-policy.xml?r1=1.5&r2=1.6 |
13 |
|
14 |
Index: vulnerability-policy.xml |
15 |
=================================================================== |
16 |
RCS file: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v |
17 |
retrieving revision 1.5 |
18 |
retrieving revision 1.6 |
19 |
diff -u -r1.5 -r1.6 |
20 |
--- vulnerability-policy.xml 22 Feb 2008 21:44:31 -0000 1.5 |
21 |
+++ vulnerability-policy.xml 28 May 2009 20:05:48 -0000 1.6 |
22 |
@@ -1,6 +1,6 @@ |
23 |
<?xml version='1.0' encoding="UTF-8"?> |
24 |
<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> |
25 |
-<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.5 2008/02/22 21:44:31 scen Exp $ --> |
26 |
+<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/vulnerability-policy.xml,v 1.6 2009/05/28 20:05:48 scen Exp $ --> |
27 |
|
28 |
<guide link="/security/it/vulnerability-policy.xml" lang="it"> |
29 |
<title>Politiche di gestione delle vulnerabilità in Gentoo Linux</title> |
30 |
@@ -14,6 +14,9 @@ |
31 |
<author title="Autore"> |
32 |
<mail link="vorlon@g.o">Matthias Geerdsen</mail> |
33 |
</author> |
34 |
+<author title="Autore"> |
35 |
+ <mail link="rbu@g.o">Robert Buchholz</mail> |
36 |
+</author> |
37 |
<author title="Traduzione"> |
38 |
<mail link="walpis@×××××.it">Walter Pisani</mail> |
39 |
</author> |
40 |
@@ -30,8 +33,8 @@ |
41 |
<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> |
42 |
<license/> |
43 |
|
44 |
-<version>1.2.6</version> |
45 |
-<date>2008-02-13</date> |
46 |
+<version>1.2.7</version> |
47 |
+<date>2009-04-14</date> |
48 |
|
49 |
<chapter> |
50 |
<title>Scopo</title> |
51 |
@@ -74,28 +77,28 @@ |
52 |
|
53 |
<table> |
54 |
<tr> |
55 |
- <th>Architetture supportate</th> |
56 |
+ <th>Architetture supportate (in ordine alfabetico)</th> |
57 |
</tr> |
58 |
<tr> |
59 |
- <ti>x86</ti> |
60 |
+ <ti>alpha</ti> |
61 |
</tr> |
62 |
<tr> |
63 |
- <ti>ppc</ti> |
64 |
+ <ti>amd64</ti> |
65 |
</tr> |
66 |
<tr> |
67 |
- <ti>sparc</ti> |
68 |
+ <ti>hppa</ti> |
69 |
</tr> |
70 |
<tr> |
71 |
- <ti>amd64</ti> |
72 |
+ <ti>ppc</ti> |
73 |
</tr> |
74 |
<tr> |
75 |
- <ti>alpha</ti> |
76 |
+ <ti>ppc64</ti> |
77 |
</tr> |
78 |
<tr> |
79 |
- <ti>ppc64</ti> |
80 |
+ <ti>sparc</ti> |
81 |
</tr> |
82 |
<tr> |
83 |
- <ti>hppa</ti> |
84 |
+ <ti>x86</ti> |
85 |
</tr> |
86 |
</table> |
87 |
|
88 |
@@ -108,9 +111,10 @@ |
89 |
<ul> |
90 |
<li> |
91 |
Designare uno sviluppatore come punto principale di contatto per le |
92 |
- pubblicazioni sulla sicurezza relative alla sua architettura: questa persona |
93 |
- sarà vista come il responsabile che deve garantire che i bug di sicurezza |
94 |
- siano adeguatamente risolti sulla loro particolare architettura |
95 |
+ pubblicazioni sulla sicurezza (Referente per la Sicurezza dell'Architettura) |
96 |
+ relative alla sua architettura. Questa persona ha la responsabilità di |
97 |
+ garantire che i bug di sicurezza siano adeguatamente risolti sulla loro |
98 |
+ particolare architettura |
99 |
</li> |
100 |
<li> |
101 |
Aderire all'osservanza delle scadenze pubblicate per i test e la marcatura |
102 |
@@ -191,7 +195,7 @@ |
103 |
|
104 |
<p> |
105 |
Ogni vulnerabilità deve inizialmente essere inserita in <uri |
106 |
-link="http://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e |
107 |
+link="https://bugs.gentoo.org">Bugzilla</uri> con prodotto "Gentoo Security" e |
108 |
componente "Vulnerabilities" (assegnato a <mail |
109 |
link="security@g.o">security@g.o</mail>). Le maggiori liste di |
110 |
sicurezza devono avere delle persone che ufficialmente verificano che tutte le |
111 |
@@ -331,14 +335,15 @@ |
112 |
</tr> |
113 |
<tr> |
114 |
<ti> |
115 |
- Compromissione di servizi globali: blocco di servizi, completa perdita di |
116 |
- password o database... |
117 |
+ Compromissione di servizi globali: blocco di servizi, completa sottrazione |
118 |
+ di password, database, perdita di dati (attacchi tramite collegamenti |
119 |
+ simbolici...) |
120 |
</ti> |
121 |
<ti>3</ti> |
122 |
<ti>normal (normale)</ti> |
123 |
</tr> |
124 |
<tr> |
125 |
- <ti>Altro: cross-site-scripting, perdita di informazioni...</ti> |
126 |
+ <ti>Altro: Cross-Site Scripting, sottrazione di informazioni...</ti> |
127 |
<ti>4</ti> |
128 |
<ti>low (basso)</ti> |
129 |
</tr> |
130 |
@@ -411,7 +416,7 @@ |
131 |
"attaccabrighe", in questo caso è colui che deve gestire per primo i bug report |
132 |
non assegnati in modo specifico) dei bug di sicurezza ed eseguire i seguenti |
133 |
passi in caso di nuove vulnerabilità in <uri |
134 |
-link="http://bugs.gentoo.org">Bugzilla</uri>: |
135 |
+link="https://bugs.gentoo.org">Bugzilla</uri>: |
136 |
</p> |
137 |
|
138 |
<ul> |
139 |
@@ -448,6 +453,18 @@ |
140 |
severità |
141 |
</li> |
142 |
<li> |
143 |
+ Inserire nel campo CC del bug i mantenitori del pacchetto in base alle |
144 |
+ informazioni contenute nel file metadata del pacchetto stesso |
145 |
+ </li> |
146 |
+ <li> |
147 |
+ impostare il campo URL con l'indirizzo del relativo bug upstream o a |
148 |
+ qualcosa di simile |
149 |
+ </li> |
150 |
+ <li> |
151 |
+ cercare identificatori CVE riservati o assegnati e aggiungerli al titolo del |
152 |
+ bug, altrimenti richiedere un CVE |
153 |
+ </li> |
154 |
+ <li> |
155 |
opzionalmente assegnare un coordinatore GLSA al bug, e aggiungere il nome |
156 |
del coordinatore nel campo "Status Whiteboard" |
157 |
</li> |
158 |
@@ -501,9 +518,8 @@ |
159 |
</li> |
160 |
<li> |
161 |
se la correzione è disponibile, impegnare il mantenitore del pacchetto a |
162 |
- produrre e scrivere un ebuild contenente la correzione (il |
163 |
- mantenitore/gruppo del pacchetto deve essere in cc sul bug) e aggiornare |
164 |
- il campo "Status Whiteboard" a <c>ebuild</c> |
165 |
+ produrre e effettuare il commit di un'ebuild contenente la correzione |
166 |
+ aggiornando il campo "Status Whiteboard" a <c>ebuild</c> |
167 |
</li> |
168 |
<li> |
169 |
una volta effettuato il commit dell'ebuild, valutare le keyword necessarie |
170 |
@@ -622,12 +638,9 @@ |
171 |
|
172 |
<p> |
173 |
Se una vulnerabilità <e>blocker</e> o <e>critical</e> o <e>major</e> non può |
174 |
-essere totalmente corretta nel tempo indicato (per esempio: una vulnerabilità |
175 |
-del kernel che deve essere corretta su tutti i sorgenti), un allarme immediato |
176 |
-GLSA deve essere scritta con le informazioni su cosa fare. (per esempio: |
177 |
-installare vanilla-sources, o c'è una patch del kernel da applicare ai propri |
178 |
-sorgente). Questa GLSA sarà sostituita da una GLSA finale nel momento in cui la |
179 |
-correzione definitiva sarà disponibile. |
180 |
+essere totalmente corretta nel tempo indicato un allarme immediato GLSA deve |
181 |
+essere scritta con le informazioni su cosa fare. Questa GLSA sarà sostituita da |
182 |
+una GLSA finale nel momento in cui la correzione definitiva sarà disponibile. |
183 |
</p> |
184 |
|
185 |
<p> |
186 |
@@ -684,7 +697,8 @@ |
187 |
<tr> |
188 |
<ti>Gentoo Linux official announcement mailing-list</ti> |
189 |
<ti> |
190 |
- <mail link="gentoo-announce@g.o">gentoo-announce@g.o</mail> |
191 |
+ <mail link="gentoo-announce@l.g.o"> |
192 |
+ gentoo-announce@l.g.o</mail> |
193 |
</ti> |
194 |
</tr> |
195 |
<tr> |
196 |
@@ -703,7 +717,11 @@ |
197 |
</tr> |
198 |
<tr> |
199 |
<ti>Linuxsecurity.com advisories service</ti> |
200 |
- <ti><mail link="alerts@×××××××××××××.com">alerts@×××××××××××××.com</mail></ti> |
201 |
+ <ti> |
202 |
+ <mail |
203 |
+ link="security-alerts@×××××××××××××.com">security-alerts@×××××××××××××.com |
204 |
+ </mail> |
205 |
+ </ti> |
206 |
</tr> |
207 |
<tr> |
208 |
<ti>Gentoo Linux announcement forum</ti> |