Информация по безопасности / Совместимость Debian с CVE

Совместимость Debian и CVE

Разработчики Debian осознают необходимость предоставлять аккуратную и своевременную информацию о безопасности дистрибутива Debian, позволяя пользователям снизить риск, связанный с обнаружением новых уязвимостей. Проект Common Vulnerabilities and Exposures (CVE) даёт нам возможность предоставлять стандартизованные ссылки на проблемы, связанные с безопасностью, позволяющие пользователям разрабатывать собственные процедуры обеспечения безопасности с поддержкой CVE. CVE предоставляет список стандартизованных идентификаторов уязвимых мест и проблем, связанных с безопасностью.

Проект Debian полагает, что предоставление пользователям дополнительной информации, связанной с вопросами безопасности, затрагивающими дистрибутив Debian, крайне важно. Включение идентификаторов CVE в тексты наших предложений помогает пользователям сопоставлять общие уязвимости с конкретными обновлениями Debian, что уменьшает время, необходимое для исправления ошибок, затрачиваемое нашими пользователями.

Наличие единообразных ссылок на проблемы, связанные с безопасностью, облегчает также обеспечение безопасности в среде, где задействованы инструменты с поддержкой CVE, такие как системы обнаружения вторжения в сеть или на узел или инструменты оценки уязвимости, независимо от того, основаны они или нет на дистрибутиве Debian.

Проект Debian добавил идентификаторы CVE во все предложения по безопасности (DSA), выпущенные с сентября 1998, в ходе процесса ревизии, начатого в августе 2002. Все предложения могут быть загружены с web-сайта Debian, а анонсы, связанные с новыми уязвимостями, включают идентификаторы CVE уже в момент выпуска.

Трекер безопасности Debian (Debian Security Tracker) содержит канонический список идентификаторов CVE, соответствующих пакетам Debian, рекомендациям Debian по безопасности и номерам ошибок. Он позволяет выполнять поиск по имени пакета или идентификатору DSA/CVE и содержит данные начиная с выпуска Debian Woody.

Общие вопросы о состоянии CVE

1. Каков текущий статус Debian в процессе CVE?
2. Почему я не могу найти необходимый идентификатор CVE?
3. Где я могу найти более подробную информацию?

Вопрос: Каков текущий статус Debian в процессе CVE?

Предложения Debian по безопасности (Debian Security Advisories) объявлены совместимыми с CVE (CVE-Compatible) 24 февраля 2004. Более подробная информация доступна на сайте CVE, в том числе опросник по возможностям.

Вопрос: Почему я не могу найти необходимый идентификатор CVE?

Трекер безопасности должен содержать все идентификаторы CVE. В других списках вы можете не найти заданного идентификатора CVE по одной из следующих причин:

• Продукты Debian не затронуты этой уязвимостью.
• Пока ещё нет предложения, описывающего эту уязвимость.
• Предложение было опубликовано до того, как уязвимости присвоен идентификатор CVE.

Вопрос: Где я могу найти более подробную информацию?

Более подробную информацию можно найти на web-сайте CVE.

Назад на домашнюю страницу проекта Debian.