7.1. L'équipe de sécurité Debian
Debian possède une équipe de sécurité, qui assure la sécurité dans la distribution stable. Assurer la sécurité veut dire suivre les failles qui surviennent dans les logiciels (en surveillant des forums comme Bugtraq ou vuln-dev) et déterminer si la distribution stable est concernée par ces failles.
L'équipe de sécurité Debian est également le point de contact pour les problèmes qui sont coordonnés par les développeurs amont ou des organisations comme le
htttp://www.cert.org, qui peuvent toucher de multiples distributeurs, c'est-à-dire quand les problèmes ne sont pas spécifiques à Debian. Le point de contact avec l'équipe de sécurité est
mailto:team@security.debian.org qui n'est lu que par les membres de l'équipe de sécurité.
Les informations secrètes devraient être envoyées à la première adresse et, dans certains cas, devraient être chiffrées avec la clef du contact de l'équipe de sécurité (disponible dans le trousseau Debian).
Dès qu'un problème probable est reçu par l'équipe de sécurité, elle recherchera si la distribution
stable est affectée et si c'est le cas, un correctif sera créé pour la base de code source. Ce correctif contiendra parfois un rétroportage du correctif effectué en amont (qui est habituellement en avance de plusieurs versions par rapport à la version distribuée par Debian). Après qu'un test du correctif ait été effectué, les nouveaux paquets sont préparés et publiés sur le site
htttp://security.debian.org pour pouvoir être récupérés par
apt
(consultez
Section 4.2, « Faire une mise à jour de sécurité »). En même temps, une
alerte de sécurité Debian (Debian Security Advisory ou DSA) est publiée sur le site web et envoyée aux listes de diffusion publiques y compris
htttp://lists.debian.org/debian-security-announce et Bugtraq.