Debian e la CVE compatibility
Gli sviluppatori Debian sono consci della necessità di fornire informazioni precise ed aggiornate circa lo stato della sicurezza della distribuzione Debian, permettendo agli utenti di gestire i rischi legati a nuove vulnerabilità. Il progetto Common Vulnerabilities and Exposures (CVE) ci consente di fornire agli utenti i riferimenti standard necessari per consentirgli lo sviluppo di un sistema di gestione della sicurezza basato su CVE. CVE fornisce un elenco di nomi standardizzati per le vulnerabilità e per i rischi inerenti la sicurezza.
Il progetto Debian è convinto che sia estremamente importante fornire agli utenti informazioni correlate ai problemi di sicurezza che interessano la distribuzione Debian. L'inclusione dei nomi CVE negli avvisi aiuta gli utenti ad associare generiche vulnerabilità con specifici aggiornamenti Debian, riducendo quindi il tempo impiegato dai nostri utenti nella gestione delle vulnerabilità.
La disponibilità di riferimenti comuni per la sicurezza facilita anche la gestione della sicurezza in ambienti dove siano già impiegati strumenti per la sicurezza basati su CVE (come network o host intrusion detection system) o strumenti per la valutazione della vulnerabilità, siano o non siano essi basati sulla distribuzione Debian.
Il progetto Debian ha aggiunto i nomi CVE a tutti gli avvisi di sicurezza (DSA) rilasciati dal settembre 1998 tramite una revisione iniziata nell'agosto 2002. Tutti gli avvisi possono essere trovati nel sito web Debian e gli annunci di nuove vulnerabilità già includono i nomi CVE se disponibili al momento del loro rilascio.
Il Debian Security Tracker ha l'elenco dei nomi CVE corrispondenti a pacchetti Debian, Debian Security Advisory e numeri dei bug. Si possono effettuare ricerche per nome del pacchetto o nome del DSA/CVE e contiene dati dal rilascio di Debian Woody.
Domande comuni sullo stato di CVE
- Qual è lo stato corrente di Debian nelle attività CVE?
- Perché non si trova un certo nome CVE?
- Dove ottenere maggiori informazioni?
D: Qual è lo stato corrente di Debian nelle attività CVE?
Gli avvisi per la sicurezza Debian sono stati dichiarati CVE-Compatible il 24 febbraio 2004. Maggiori informazioni sono disponibili nel sito CVE, compreso il capability questionnaire.
D: Perché non si trova un certo nome CVE?
Il security tracker dovrebbe avere tutti i nomi CVE. Gli altri elenchi potrebbero non contenere il nome CVE di un avviso pubblicato perché:
- Nessuno dei prodotti Debian è affetto da quella vulnerabilità.
- Non esiste ancora un avviso relativo a quella vulnerabilità.
- Un avviso era stato pubblicato prima che fosse assegnato un nome CVE alla vulnerabilità.
D: Dove ottenere maggiori informazioni?
Per maggiori informazioni si visiti il sito web CVE.