Le vendredi 22 avril 2005 à 12:23 +0200, Nicolas Aupetit a écrit : > simon.paillard@resel.enst-bretagne.fr a écrit : > > Voici la traduction de la page de FAQ du projet d'audit de sécurité. > > > > Merci d'avance pour les relectures. > > Voici une relecture. Merci Nicolas, j'ai tout intégré excepté ceci, car le 's' est correct : Beaucoup de problèmes de sécurité que la procédure d'audit a -trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent +trouvé ne sont pas immédiatement exploitables (cependant, ils peuvent J'ai corrigé par la même occasion le n° de version qui était erroné. -- Simon Paillard <simon.paillard@resel.enst-bretagne.fr>
#use wml::debian::translation-check translation="1.19" maintainer="Simon Paillard" #use wml::debian::template title="FAQ de l'audit de sécurité de Debian" #use wml::debian::toc <p>Cette page liste les questions habituelles des visiteurs qui entendent parler de ce projet pour la première fois.</p> <toc-display> <toc-add-entry name="what">Qu'est-ce que le projet d'audit de sécurité de Debian ?</toc-add-entry> <p>Le projet d'audit de sécurité de Debian est un petit projet mené au sein du projet Debian, destiné à avoir une démarche proactive vis à vis de la sécurité, en effectuant des audits du code source des paquets mis à disposition des utilisateurs de Debian.</p> <p>L'audit se focalise sur la distribution stable de Debian, le travail d'audit étant orienté par les <a href="packages">recommandations sur la priorité d'audit des paquets</a>.</p> <toc-add-entry name="start">Quand le projet d'audit de sécurité de Debian a-t-il démarré ?</toc-add-entry> <p>La première annonce de sécurité est sortie en décembre 2002, suivie par une série d'annonces supplémentaires avec le temps.</p> <p>Le projet a continué sous forme officieuse jusqu'à ce qu'il soit officialisé en mai 2004 par le chef du projet Debian, Martin Michlmayr.</p> <toc-add-entry name="advisories-from-audit">Quelles annonces proviennent de l'effort d'audit ?</toc-add-entry> <p>Il y a eu de multiples annonces diffusées en tant que résultats du travail d'audit. Celles diffusées avant que le projet devienne officiel sont listées sur la <a href="advisories">page des annonces de l'audit de sécurité</a>.</p> <p>On espère dans un futur proche que les annonces connues comme issues du projet pourront être trouvées en cherchant « Debian Security Audit Projet » dans les rapports des annonces de sécurité de Debian.</p> <toc-add-entry name="advisories">Tout le travail d'audit porte sur les annonces de sécurité ?</toc-add-entry> <p>En fait non. Beaucoup de problèmes de sécurité que la procédure d'audit a trouvés ne sont pas immédiatement exploitables (cependant, ils peuvent interrompre le programme). D'autres problèmes de sécurité exploitables que nous avons trouvés ne sont pas présents dans la version stable officielle de Debian, mais dans les versions de test (<i>Testing</i>) ou instable (<i>Sid</i>). Tous ces problèmes sont remontés à travers le système de suivi des bogues de Debian (et dans certains cas directement aux développeurs amont). Vous pouvez jeter un coup d'oeil à certains des <a href="bugs">bogues</a> que nous avons ouverts lors de la procédure d'audit.</p> <toc-add-entry name="credit">Qui a contribué à ce travail ?</toc-add-entry> <p>Steve Kemp a démarré le projet d'audit de sécurité de Debian, créant ses premières procédures, et les a testées en trouvant de nombreuses vulnérabilités.</p> <p>Ulf Härnhammar a rejoint le projet à ses débuts non-officiels et a trouvé plusieurs vulnérabilités qui ont été corrigées depuis. Ulf fut rapidement suivi par Jaguar et Javier Fernández-Sanguino qui ont également découvert des problèmes de sécurité significatifs.</p> <p><a href="http://www.dwheeler.com";>David A. Wheeler</a> incita Steve Kemp à proposer l'officialisation du projet comme projet Debian, ce qui fut rendu possible par l'implication du chef du projet Debian, Martin Michlmayr. David fit également de nombreuses suggestions utiles sur le contenu de ces pages, et contribua directement à plusieurs sections.</p> <p>L'<a href="$(HOME)/security">équipe de sécurité de Debian</a> a été très utile dans la réussite de l'audit, en s'assurant que toutes les vulnérabilités trouvées étaient rapidement corrigées et que les corrections étaient rapidement diffusées dans le monde.</p> <p>Les nouveaux contributeurs sont toujours les bienvenus !</p> <toc-add-entry name="contribute">Comment puis-je contribuer ?</toc-add-entry> <p>Si vous avez le temps et les compétences nécessaires pour auditer un paquet, alors lancez-vous !</p> <p>La <a href="auditing">présentation de l'audit</a> devrait vous donner une bonne idée de la manière de travailler — pour toute question supplémentaire, vous devriez la poser sur la <a href="http://shellcode.org/mailman/listinfo/debian-audit";>liste de diffusion debian-audit</a>.</p> <toc-add-entry name="mailinglist">Puis-je discuter de paquets spécifiques sur la liste de diffusion ?</toc-add-entry> <p>Il est préférable que vous ne nommiez pas les paquets contenant les problèmes que vous avez découverts avant qu'une <a href="$(HOME)/security/">DSA</a> ne soit publiée. Cela permettrait aux utilisateurs malveillants d'exploiter les failles que vous décririez avant qu'elles soient corrigées.</p> <p>En revanche, la liste de diffusion peut être utilisée pour décrire un bout de code et demander des avis sur son caractère exploitable, et la manière de le corriger.</p> <toc-add-entry name="maintainer">Comment puis-je contribuer comme mainteneur de paquet ?</toc-add-entry> <p>Les mainteneurs de paquet peuvent aider à assurer la sécurité du logiciel qu'ils empaquettent en regardant eux-même au code, ou en demandant de l'aide.</p> <p>Veuillez regarder la page sur <a href="maintainers">l'audit pour les mainteneurs de paquets</a>.</p> <toc-add-entry name="reporting">Comment rapporter un problème que j'ai découvert ?</toc-add-entry> <p>Une section dans la <a href="$(HOME)/security/faq#discover">FAQ de l'équipe Debian sur la sécurité</a> décrit la procédure.</p> <toc-add-entry name="clean">La liste des paquets audités qui n'ont pas de problème est-elle disponible ?</toc-add-entry> <p>Non, les paquets qui ont été examinés et pour lesquels aucun problème n'a été trouvé ne sont pas listés publiquement.</p> <p>C'est en partie car des problèmes tapis pourraient avoir été oubliés, et en partie car les audits sont conduits par plusieurs personnes, sans beaucoup de coordination.</p> <toc-add-entry name="moreinfo">Où puis-je trouver plus d'informations ?</toc-add-entry> <p>Il existe une liste de diffusion à laquelle vous pouvez vous abonner et sur laquelle vous pouvez poser des questions.</p> <p>Veuillez consulter la <a href="http://shellcode.org/mailman/listinfo/debian-audit";>page de la liste de diffusion debian-audit</a> pour plus de détails.</p>
Attachment:
signature.asc
Description: This is a digitally signed message part