Re: [RFR2] wml://security/disclosure-policy.wml
Bonsoir,
Le 09/05/2020 à 13:05, JP Guillonneau a écrit :
> Bonjour,
>
> D’autres avis ?
suggestions,
amicalement,
bubu
--- disclosure-policy.wml 2020-05-09 19:50:13.816675658 +0200
+++ disclosure-policy.relu.wml 2020-05-09 20:07:02.746570396 +0200
@@ -46,33 +46,33 @@
<p>La liste des distributions limite la période d’embargo (délai entre le
rapport initial et la divulgation) à deux semaines. Cependant, des délais plus
longs ne sont pas inhabituels, en fonction de coordinations supplémentaires
-avant de partager avec la liste des distributions, d’adaptations avec les cycles
+avant de partager avec la liste des distributions, et d’adaptations avec les cycles
de publication de fournisseurs mensuelles voire trimestrielles. Corriger les
vulnérabilités du protocole Internet peut même prendre plus longtemps, et par
-conséquent, et il en est de même pour développer des tentatives d’atténuation
+conséquent, il en est de même pour développer des tentatives d’atténuation
de vulnérabilités matérielles dans des logiciels.</p>
<h2>Empêchement des embargos</h2>
<p>Puisque la coordination en privé est propice à créer des frictions et rend
difficile d’impliquer les bons experts en la matière, Debian encourage une
-divulgation publique des vulnérabilités même avant le développement d’un
+divulgation publique des vulnérabilités avant même le développement d’un
correctif, sauf si une telle démarche mettrait clairement en danger les
utilisateurs de Debian ou les autres parties.</p>
<p>L’équipe de sécurité de Debian demande souvent aux rapporteurs de transmettre
les rapports de bogue publics dans le(s) système(s) appropriés de suivi de
bogues (tels que le <a href="../Bugs/">système de suivi de bogues de Debian</a>),
-fournissant une aide selon les besoins.</p>
+en fournissant une aide selon les besoins.</p>
-<p>Un embargo n’est pas nécessaire pour une affectation CVE ou accorder une
+<p>Un embargo n’est pas nécessaire pour une affectation CVE ou pour accorder une
annonce de sécurité.</p>
<h2>Affectation CVE</h2>
-<p>Debian, en tant que autorité auxiliaire de numérotation (sub-CNA), affecte
+<p>Debian, en tant qu'autorité auxiliaire de numérotation (sub-CNA), affecte
seulement des identifiants CVE pour les vulnérabilités de Debian. Si un rapport
-de vulnérabilité ne satisfait pas ce critère et par conséquent est en dehors du
+de vulnérabilité ne satisfait pas ce critère, et par conséquent est en dehors du
périmètre du CNA de Debian, l’équipe de sécurité de Debian s’arrangera avec
un autre CNA pour une affectation d’identifiant CVE ou guidera le rapporteur
pour une soumission de sa propre requête d’identifiant CVE.</p>
@@ -93,7 +93,7 @@
<p>Debian ne propose pas de programme de primes pour les bogues. Les parties
extérieures peuvent encourager les rapporteurs à les contacter à propos de
-vulnérabilités dans Debian, mais elles se sont pas cautionnées par le projet
+vulnérabilités dans Debian, mais elles ne sont pas cautionnées par le projet
Debian.</p>
<h2>Vulnérabilités dans l’infrastructure de Debian</h2>
@@ -102,4 +102,4 @@
gérés de la même façon. Si cette vulnérabilité d’infrastructure n’est pas le
résultat d’une mauvaise configuration, mais une vulnérabilité dans un logiciel
utilisé, la coordination multipartie habituelle est nécessaire, avec un
-calendrier similaire décrit ci-dessus.</p>
+calendrier similaire à celui décrit ci-dessus.</p>
Reply to: