--
<define-tag pagetitle>Déclaration commune sur la sécurité de GNU/Linux</define-tag> <define-tag release_date>2004-04-04</define-tag> #use wml::debian::news #use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" # Déclaration commune sur la sécurité de GNU/Linux <h3>Résumé</h3> <p> Les concepteurs de GNU/Linux Debian, Mandrake, Red Hat et SuSE se sont rejoints pour faire une déclaration commune sur le rapport Forrester intitulé « Linux est-il plus sûr que Windows ? » Bien que ce rapport prétende incorporer une évaluation qualitative des réactions des concepteurs aux vulnérabilités sérieuses, il traite de la même façon toutes les vulnérabilités, quelque soit leur risque pour les utilisateurs. En conséquence, les conclusions tirées par Forrester ont une valeur réelle extrêmement limitée pour des clients qui fondent leur opinion sur la question pratique de savoir si les vulnérabilités sérieuses sont corrigées rapidement. </p> <h3>Déclaration complète</h3> <p> Les équipes de sécurité des distributions GNU/LINUX Debian, Mandrakesoft, Red Hat et SUSE ont assisté Forrester pour rassembler et corriger les données sur les vulnérabilités de leurs produits. Les données rassemblées ont été utilisées par Forrester pour un rapport qui a été intitulé « Linux est-il plus sûr que Windows ? » Bien que les données sur les vulnérabilités concernant GNU/Linux qui sont à la base de ce rapport sont considérées comme étant suffisamment précises et utiles, Debian, Mandrakesoft, Red Hat et SuSE, désormais appelés « nous » dans la suite de cette déclaration, sont inquiets au sujet de la justesse et des conclusions faites dans ce rapport. </p> <p> Nous croyons qu'il est dans l'intérêt de nos utilisateurs et de la communauté du logiciel libre de répondre au rapport Forrester par une déclaration commune : </p> <p> Nous avons été contactés par Forrester en février 2004 pour les aider à affiner leurs données brutes. Forrester a rassemblé des données sur les vulnérabilités qui ont affecté GNU/Linux pendant la période d'une année (de juin 2002 à juin 2003) et a recherché combien de jours avaient été nécessaires pour fournir des correctifs à nos utilisateurs. Des efforts significatifs ont été fait non seulement pour s'assurer que l'ensemble des données sous-jacentes sur les vulnérabilités était correct, mais aussi pour exprimer clairement les soins techniques et d'organisation particuliers pris dans les processus de réaction du domaine de la sécurité du logiciel libre professionnel. Cette expertise est très appréciée par nos utilisateurs car elle ajoute beaucoup de valeur à nos produits, mais nous constatons de la plupart de cette valeur a été ignorée dans la méthode utilisée pour les analyses des données de vulnérabilité, conduisant à des conclusions erronées. </p> <p> Nos équipes de sécurité et des organisations spécialisées en sécurité de réputation respectable (comme le CERT/DHS, BSI, NIST, NISCC) échangent des informations sur les vulnérabilités et coopèrent sur les mesures et les procédures à prendre en réaction. Chaque vulnérabilité est étudiée et évaluée individuellement ; la sévérité de la vulnérabilité est alors déterminée par chacune des équipe en fonction du risque et de l'impact, ainsi que d'autres critères principalement techniques, du point faible et du logiciel affecté. Cette sévérité est alors utilisée pour déterminer la priorité avec laquelle un correctif pour la vulnérabilité doit être apporté en fonction des autres vulnérabilités en cours de traitement. Nos utilisateurs savent que pour des défauts critiques nous pouvons répondre en quelques heures. Ce choix de priorités signifie que des questions de sévérité moindre seront souvent retardées afin de résoudre d'abord les problèmes plus importants. </p> <p> Bien que le rapport Forrester le prétende, il ne fait pas cette distinction lorsqu'il mesure le temps écoulé entre la divulgation au public d'un défaut de sécurité et la disponibilité d'un correctif. Pour chaque concepteur le rapport ne fournit qu'une simple moyenne, le « nombre de jour de risque total par distribution », qui fournit une image peu convaincante de la réalité que vivent les utilisateurs. Cette moyenne traite de manière égale et de façon erronée toutes les vulnérabilités quelque soit le risque qu'elles posent. Toutes les vulnérabilité n'ont pas un même impact sur tous les utilisateurs. Un essai a été mené pour attribuer une sévérité aux vulnérabilités qui utilisent des données à partir de tiers, cependant la classification de vulnérabilités « très sévères » n'est pas suffisante : la simple annonce d'une vulnérabilité par une organisation de sécurité particulière ne rend pas nécessairement cette vulnérabilité sévère — de la même façon, la possibilité d'exploiter un point faible à travers le réseau (à distance) est souvent sans rapport avec la sévérité de vulnérabilité. </p> <p> Nous croyons que le rapport ne traite pas les concepteurs de logiciels libres et celui à source fermé de la même façon. Le logiciel libre est connu pour sa diversité et sa liberté de choix parmi les standards qu'il définit. Plusieurs implantations de ces standards sont généralement proposées à la fois pour des utilisations en bureautique comme pour des serveurs ce qui donne aux utilisateurs la liberté de sélectionner les logiciels en fonction de leurs propres critères plutôt que selon ceux du concepteur. L'ouverture, la transparence et la traçabilité du code source est une valeur ajoutée en plus de la plus grande diversité de paquets logiciels disponibles. Enfin, prétendre qu'un concepteur de logiciels a corrigé la totalité de ses défauts pendant la période de l'étude devrait inciter à de plus amples investigations des conclusions présentées par le rapport. </p> <p> Signé,<br /> Noah Meyerhans, Debian<br /> Vincent Danen, Mandrakesoft<br /> Mark J Cox, Red Hat<br /> Roman Drahtmüller, SUSE </p> <h3>Information complémentaire</h3> <p> Javier Fernández-Sanguino Peña <a href="http://people.debian.org/~jfs/debconf/security/data/">a mené</a> une <a href="http://lists.debian.org/debian-security-0112/msg00257.html">enquête</a> en 2001 et a découvert que l'équipe de sécurité de Debian a mis en moyenne 35 jours pour corriger les vulnérabilité postées sur la liste Bugtraq. Quoi qu'il en soit, plus de 50 % des vulnérabilités sont corrigées dans un délai de 10 jours, et plus de 15 % d'entre elles sont corrigées le jours même de la publication de leur annonce ! Pour cette analyse, toutes les vulnérabilités étaient traitées de la même façon cependant. </p> <p> Il a reconduit cette enquête avec les vulnérabilités découvertes entre le 1<sup>er</sup> juin 2002 et le 31 mai 2003 et a trouvé que la valeur médiane du délai entre la découverte et la publication d'une annonce comprenant un correctif était de 13,5 jours (la moyenne est de 31,1 jours). Pour cette analyse les annonces n'étaient pas non plus classées en différentes priorités. </p>
<define-tag pagetitle>Debian ajoute le support intégré de XML</define-tag> <define-tag release_date>2004-05-06</define-tag> #use wml::debian::news #use wml::debian::translation-check translation="1.3" maintainer="Nicolas Bertolissio" # Helper tags due to long URLs # <define-tag url whitespace=delete> <ifeq "%0" "impl" "http://debian-xml-sgml.alioth.debian.org/xml-policy/xml-catalogs.html"> <ifeq "%0" "specs" "http://www.oasis-open.org/committees/download.php/4952/wd-entity-xml-catalogs-1.0_2e.html"> <ifeq "%0" "xml-policy" "http://debian-xml-sgml.alioth.debian.org/xml-policy/"> <ifeq "%0" "sgml-policy" "http://debian-xml-sgml.alioth.debian.org/sgml-policy/"> <ifeq "%0" "register" "http://debian-xml-sgml.alioth.debian.org/xml-policy/xml-registering-resources.html"> <ifeq "%0" "migration" "http://debian-xml-sgml.alioth.debian.org/xml-policy/xml-migration-symlink.html"> <ifeq "%0" "fhs" "http://www.pathname.com/fhs/"> <ifeq "%0" "deb-policy" "http://www.debian.org/doc/debian-policy/"> <ifeq "%0" "xml-group" "http://debian-xml-sgml.alioth.debian.org/"> <ifeq "%0" "debian-sgml" "http://lists.debian.org/debian-sgml/"> <ifeq "%0" "debian-xml" "http://lists.alioth.debian.org/mailman/listinfo/debian-xml-sgml-devel"> <ifeq "%0" "psgml" "http://packages.debian.org/psgml"> </define-tag> <define-tag link whitespace=delete> <a href="<url %0>">%1</a> </define-tag> <p> La toute prochaine édition stable de Debian (nommé Sarge) intégrera le support complet de XML. Plusieurs ensembles d'outils pour le traitement XSL(T), un système de catalogue XML totalement compatible avec les standards et une charte Debian pour le XML destinée à la fois aux développeurs et aux utilisateurs Debian fournissent le socle d'un système sur étagère complet pour les développeurs et les auteurs XML. </p> <p> Complétant l'infrastructure et les paquets SGML et DSSSL déjà intégrés, le sous-système XML innovant qui en résulte positionne Debian à la première place des plates-formes destinées aux développeurs SGML et XML, en offrant un jeu d'outils de travail complet pour les auteurs de documentation et les programmeurs de langages à balises sans nécessiter de paramétrage manuel. </p> <h3>Fonctionnalités</h3> <ul> <li><link impl "Implantation"> hiérarchique conforme aux standards des <link specs "spécifications"> des catalogues XML OASIS ;</li> <li>Outil de maintenance du système de catalogue XML (update-xmlcatalog) ;</li> <li>Charte complète à la fois pour l'implantation de <link xml-policy "XML"> et de <link sgml-policy "SGML"> sur les systèmes Debian ;</li> <li><link register "Documentation et conseils"> de développement pour l'empaquetage de ressources et d'outils XML (<code>\ dh_installxmlcatalog</code>) pour l'enregistrement les ressources des paquets dans le système de catalogue XML ;</li> <li>Insistance sur le maintien de la <link migration "compatibilité ascendante"> avec les éditions précédentes de Debian ;</li> <li>Emplacement des ressources XML conforme au <link fhs "standard de hiérarchie des systèmes de fichiers"> ;</li> <li>Support d'éditeurs intégrés pour XML avec GNU Emacs avec l'utilisation des paquets <link psgml "psgml"> et nxml-mode et des outils associés.</li> </ul> <p> Le modèle ouvert de Debian pour la participation et l'engagement sur le long terme à un système de qualité (comme indiqué dans la <link deb-policy "charte Debian">) la place en tête devant les autres distributions commerciales et libres. </p> <h3>Comment participer</h3> <p> Les utilisateurs et les développeurs Debian intéressés sont invités à participer au développement futur et à l'implantation de XML et des outils associés en rejoignant le groupe Debian XML/SGML et ou l'une des listes de diffusion XML/SGML : </p> <ul> <li><link xml-group "groupe Debian XML/SGML"> ;</li> <li><link debian-sgml "discussions sur la charte et les outils XML/SGML"> ;</li> <li><link debian-xml "discussions sur l'empaquetage collaboratif XML/SGML">.</li> </ul>
Attachment:
signature.asc
Description: Digital signature