Re: [wml] mais dois para commit

To: debian-l10n-portuguese@lists.debian.org
Subject: Re: [wml] mais dois para commit
From: "rodrigo torres" <rodrigo-torres@web.de>
Date: Mon, 2 Feb 2004 14:06:53 +0100
Message-id: <[🔎] 200402021306.i12D6rQ17647@mailgate5.cinetic.de>

êta nóis... Agora eu acho que vai.
Ficou faltando  portuguese/security/faq.wml

:~.
______________________________________________________________________________
Nachrichten, Musik und Spiele schnell und einfach per Quickstart im 
WEB.DE Screensaver - Gratis downloaden: http://screensaver.web.de/?mc=021110

#use wml::debian::template title="FAQ de Segurança Debian"
#use wml::debian::translation-check translation="1.34" translation_maintainer="Philipe Gaspar"
#include "$(ENGLISHDIR)/security/faq.inc"

<p>As perguntas a seguir são feitas muitas vezes, então suas respostas estão resumidas aqui
.</p>

<maketoc>

<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus
   alertas!</toc-add-entry>

<p>R: Provavelmente você está fazendo algo errado. A lista
   <a href="http://lists.debian.org/debian-security-announce/";>\
   debian-security-announce</a> possui um filtro que só permite que mensagens
   com a assinatura correta de um dos membros da equipe de segurança sejam
   postadas.</p>

<p>É possível que seu software de e-mail esteja alterando sutilmente 
   a mensagem, o que invalida sua assinatura.
   Certifique-se de que seu programa não faça codificação ou decodificação
   MIME, assim como conversões de tabulação/espaços.</p>

<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
   habilitada), o formail (do procmail versão 3.14) e o evolution.</p>

<toc-add-entry name=handling>Como é a feita a segurança no Debian?</toc-add-entry>

<p>R: Assim que o Time de Segurança recebe uma notificação sobre um
   incidente, um ou mais membros revisam e consideram seu impacto sobre 
   a versão estável do Debian (ex. se esta é vulnerável ou não). Se nosso
   sistema é vulnerável, nós trabalhamos em uma correção para o problema.
   O mantenedor do pacote é contatado também, se ele já não contatou
   o Time de Segurança. Finalmente, a correção é testada e novos pacotes
   são preparados, compilados em todas as arquiteturas da versão estável e
   é feito o envio dos mesmos. Depois de tudo isso, um alerta é publicado.
  </p>
  
<toc-add-entry name=oldversion>Por que vocês insistem em versões antigas 
daquele pacote?</toc-add-entry>

<p>R: A regra mais importante de quando está se fazendo um novo pacote que corrige
   problemas de segurança é fazer menos alterações o possível. Nossos usuários e
   desenvolvedores estão confiando no comportamento correto de um release uma
   vez que é feito, então qualquer mudança que fazemos pode possivelmente
   quebrar o sistema de alguém. Isso é verdade especialmente no caso de 
   bibliotecas: tenha certeza que você nunca modifique as 
   Application Program Interface (API) ou Application Binary Interface (ABI),
   não importa o quão pequeno seja essa alteração.</p>
   
<p>Isso significa que mudando para a nova versão do autor não é uma boa 
   solução, em vez disso as alteração relevantes devem ser adaptadas à versão
   antiga. Geralmente os autores dessas novas versões têm vontade de ajudar
   se preciso, se não o Time de Segurança do Debian pode estar disponível para
   ajudar.</p>

<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de 
   segurança, por exemplo quando muita quantidade de código fonte precisa ser 
   modificada ou reescrita. Se isto acontecer pode ser necessário mudar para a
   nova versão do autor, mas isso deve ser coordenado antecipadamente com o 
   Time de Segurança.</p>

<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos apareçam
   no security.debian.org?</toc-add-entry>

<p>R: Erros de segurança na distribuição estável garantem a aparição
   de um pacote no security.debian.org. Nada mais. O tamanho
   do erro não é o problema real aqui. Normalmente, o Time de Segurança
   irá preparar pacotes juntamente com o mantenedor do pacote. Desde que
   alguém (confiável) investigue o problema e construa os pacotes necessários
   e os envie ao Time de Segurança, mesmo problemas de segurança triviais
   irão entrar no security.debian.org. Por favor veja abaixo</p>

<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda estou
   rodando uma versão vulnerável!</toc-add-entry>

<p>Atualizações de segurança têm um único propósito: fornecer uma correção
uma vulnerabilidade relacionada a segurança. Elas não são um método para enviar
mudanças adicionais na versão estável sem realizar um procedimento de lançamento normal.
</p>

<p>R: Ao invés de atualizar para uma nova versão nós portamos correções
   de segurança das versões mais novas para a versão lançada com a release
   estável. A razão para que façamos isto é certificar-nos de que uma release mude o
   mínimo possível e que as coisas não mudarão ou quebrarão inesperadamente
   como consequência de uma correção de segurança. Você pode checar se
   está executando uma versão segura de um pacote verificando o seu changelog
   ou comparando o exato número de versão com a versão indicada
   no Alerta de Segurança Debian.</p>

<toc-add-entry name=testing>Como a segurança é feita na <tt>testing</tt> e na
   <tt>unstable</tt>?</toc-add-entry>

<p>R: A resposta curta é: não é feita. Testing e unstable estão constante alteração
   e a equipe de segurança não possui os recursos necessários
   para checá-las Se quer ter um servidor seguro e
   estável, nós recomendamos fortemente que continue com a versão
   estável. Entretanto, os secretários de segurança tentarão consertar 
   os problemas na testing e unstable depois que eles forem consertados no
   lançamento estável.</p>

<toc-add-entry name=contrib>Como a segurança é feita para o <tt>contrib</tt> e <tt>non-free</tt>?</toc-add-entry>
<p>A: A resposta curta é: não é feita. Contrib e non-free não 
   fazem parte oficialmente da Distribuição Debian e não são lançadas, e por isso
   não são suportadas pelo time de segurança. Alguns pacotes non-free são distribuídos
   sem o código fonte ou uma licença que não permite a distribuição das versões
   modificadas. Nesses casos nenhum conserto de segurança pode ser feito.</p>

<toc-add-entry name=mirror>Por que não há mirrors oficiais de security.debian.org?</toc-add-entry>

<p>R: O propósito de security.debian.org é tornar atualizações de
   segurança disponíveis da maneira mais rápida e fácil possível.</p>

   <p>Encorajar o use de mirrors não oficiais poderá causar uma complexidade extra
   desnecessária e a frustração de encontrar um desses mirrors desatualizados. Mirrors oficiais de 
   security.debian.org estão sendo planejados para o futuro.</p>

<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
<p>R: Vários distribuidores (a maioria deles de GNU/Linux, mas também
   de variações do BSD) coordenam alertas de segurança para alguns
   incidentes e concordam com uma determinada linha de tempo para
   que todos os distribuidores possam lançar um aviso ao mesmo tempo.
   Isso foi decidido para que não haja discriminação com alguns distribuidores que
   precisam de mais tempo (por exemplo, quando o distribuidor tem de
   passar os pacotes por longos testes de controle de qualidade
   ou suporta diversas arquiteturas ou distribuições binárias).
   Nosso Time de Segurança também prepara avisos com antecedência.
   Dependendo da situação, outros problemas de segurança tem de ser
   trabalhados antes de o aviso "estacionado" ser lançado, e isso
   causa a lacuna na numeração dos avisos.

<toc-add-entry name=contact>Como posso entrar em contato com a equipe de segurança?</toc-add-entry>

<p>R: Informações relacionadas a segurança podem ser enviadas para
   security@debian.org, que são lidas pelo time de segurança e alguns
   outros desenvolvedores do Debian.</p>

<p>Se você tiver informações importantes entre em contato somente com 
   time de segurança em team@security.debian.org.</p>

<p>Caso deseje, a mensagem pode ser criptografada com a chave do
   Contato de Segurança Debian (o ID da chave é <a
   href="http://blackhole.pca.dfn.de:11371/pks/lookup?op=get&amp;exact=on&amp;search=0x363CCD95";>\
   0x363CCD95</a>).
   Também procure pelas <a href="keys.txt">chaves PGP/GPG do time de segurança</a>.</p>

<toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>

<p>R: Se você descobriu um problema de segurança, tanto em um dos seus pacotes
   ou de outro desenvolvedor, por favor, contate o Time de Segurança. Se o Time
   de segurança do Debian confirmar a vulnerabilidade e outros distribuidores
   também estiverem vulneráveis, eles geralmente contatam estes outros distribuidores
   . Se a vulnerabilidade ainda não é pública eles tentam coordenar os
   alertas de segurança com os dos outros distribuidores para que todas as 
   principais distribuições fiquem sincronizadas.</p>

   <p>Se você for um mantenedor Debian, <a href="#care">veja abaixo</a>.</p>

<toc-add-entry name=care>O que eu devo fazer com um problema de segurança em um dos meus 
pacotes?</toc-add-entry>

<p>R: Se você souber de algum problema de segurança, seja no seu pacote ou
no de outra pessoa, por favor, não deixe de entrar em contato com o Time de 
Segurança. Você pode se comunicar com eles através do e-mail 
team@security.debian.org. Eles mantém um relatório do andamento dos 
problemas de segurança, podem ajudar mantenedores a consertar ou até mesmo
eles consertarem estes problemas de segurança, também são responsáveis por
mandar os alertas de segurança e mantém o security.debian.org.</p>

<p>O documento <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
   Developer's Reference (Referências para Desenvolvedores)</a> tem instruções 
   completas do que fazer.</p>

<p>É particularmente importante que você não faça o upload para nenhuma outra
   distribuição que não seja a instável sem antes conversar com o time de 
   segurança, pois isso pode causar confusão e mais trabalho.</p>
    
<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança,
    mas eu recebo um erro do tipo `arquivo não encontrado'.</toc-add-entry>

<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
   antigo na security.debian.org, as chances de que o antigo seja removido 
   assim que o outro entrar são altas.  Portanto, você irá 
   receber o erro `arquivo não encontrado'. Nós não queremos distribuir
   pacotes com erros de segurança conhecidos a não ser que seja absolutamente necessário.</p>

<p>Por favor use os pacotes dos últimos avisos de segurança, que
   são distribuídos através da lista de discussão <a
   href="http://lists.debian.org/debian-security-announce/";>\
   debian-security-announce</a>. É melhor simplesmente rodar
   <code>apt-get update</code> antes de atualizar o pacotes.</p>

<toc-add-entry name=upload>Eu tenho uma correção de bug. Posso enviar para o 
security.debian.org diretamente?</toc-add-entry>

<p>R: Não, você não pode. O repositório na security.debian.org é mantido
   pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso
   você pode enviar patches ou pacotes fonte apropriados para o Time de Segurança
   pelo email team@security.debian.org. Eles serão revisados pelo Time de Segurança
   e eventualmente enviados, tanto com ou sem modificações.</p>

<p>Se você não está acostumado com uploads de segurança e não tem
   100% de certeza que seu pacote está correto, por favor use esta 
   maneira e não envie para o diretório incoming. O Time de Segurança
   não tem muitas opções para tratar com pacotes quebrados, especialmente
   se eles não usam uma versão correta. Os pacotes atualmente não podem
   ser rejeitados e o buildd poderia ficar confuso se isto fosse 
   possível. Então, por favor use mail e ajude evitando colocar mais
   peso para o Time de Segurança.</p>

<p>O manual <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
   Developer's Reference (Referências para Desenvolvedores)</a> tem instruções 
   completas do que fazer.</p>

<toc-add-entry name=ppu>Eu tenho uma correção de bug. Posso enviar para o 
"proposed-updates" diretamente?</toc-add-entry>

<p>A: Tecnicamente falando, você pode. No entanto, você não deve fazê-lo,
   uma vez que isso interfere no trabalho do Time de Segurança. 
   Pacotes do security.debian.org serão copiados para o diretório 
   proposed-updates automaticamente. Se um pacote com o mesmo ou um número
   de versão mais alto já se encontra no arquivo, a atualização de segurança
   será rejeitada pelo sistema de arquivamento. Dessa forma, a distribuição
   estável ficará sem uma atualização de segurança para este pacote, ao menos
   que o pacote "errado" do diretório proposed-updates seja rejeitado. 
   Por favor, contate o Time de Segurança, inclua todos os detalhes da 
   vulnerabilidade e anexe seu arquivos fontes (por exemplo, diff.gz e arquivos
   dsc) em seu e-mail.</p>

<p>O manual <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
   Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>

<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos,
    como posso enviá-los?</toc-add-entry>
    
<p>R: Se você tem tanta certeza que seus pacotes não irão quebrar alguma coisa, que
   a versão está correta (exemplo maior do que a versão no estável e menor do que
   a versão no testing/instável), que você não alterou o comportamento do pacote, 
   apesar do problema de segurança correspondente, que você compilou ele para a 
   distribuição correta (que é a <code>oldstable-security</code> ou 
   <code>stable-security</code>), que contém o código fonte original se o pacote
   for novo na security.debian.org, que você pode confirmar que o patch da versão
   mais recente é claro e somente modificado a parte relacionada com o problema de 
   segurança correspondente (verifique com <code>interdiff -z</code> e ambos
   arquivos <code>.diff.gz</code>), que você tenha revisado o patch pelo menos
   três vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você 
   pode enviar diretamente os arquivo para o diretório incoming 
   <code>/org/ftp.root/pub/SecurityUploadQueue</code> no security.debian.org. Por favor
   envie também uma notificação com todos os detalhes e links para o email
   team@security.debian.org.</p>
    
<toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
<p>R: Por favor, reveja cada problema antes de informá-lo ao 
   security@debian.org. Se você for capaz de fornecer patches, 
   isto aumentaria a velocidade do processo. Não encaminhe 
   simplesmente mails do bugtraq, porque nós já os recebemos 
   &mdash; mas nós relate informações adicionais sobre
   coisas informadas na bugtraq.</p>

<toc-add-entry name=proposed-updates>Qual é o escopo do proposed-updates?</toc-add-entry>

<p>R: Este diretório contém pacotes que são sugeridos para entrar
   na próxima versão estável do Debian. Sempre que pacotes são enviados
   por um mantenedor para a distribuição estável, eles acabam no
   diretório proposed-updates. Já que a estável é feita para ser estável,
   atualizações automáticas não são realizadas. O Time de Segurança irá
   enviar pacotes corrigidos mencionados em alertas para a estável,
   no entanto, eles serão colocados no proposed-updates antes. A cada dois meses, 
   o Gerente da Versão Estável confere a lista de pacotes
   do proposed-updates e discute se um pacote serve ou não para a estável.
   Então, os escolhidos são compilados em uma nova versão da estável
   (e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
   provavelmente serão rejeitados e também descartados do proposed-updates.
   
   <p>Note que pacotes com uploads feitos pelos mantenedores (não pelo time de segurança)
   no diretório proposed-updates/ não são suportados pelo time de segurança.</p>

<toc-add-entry name=composing>Como o Time de Segurança é composto?</toc-add-entry>

<p>R: O Time de Segurança do Debian consiste de
   <a href="../intro/organization">alguns oficiais e secretários</a>.
   O próprio Time de Segurança designa pessoas para se juntar ao Time.</p>

<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
<p>R: O time de segurança tentar dar suporte à distribuição estável por mais ou 
   menos um ano depois que uma próxima distribuição estável é lançada, exceto
   quando uma outra distribuição estável é lançada neste período. É impossível
   dar suporte a três distribuições; dar suporte a duas simultaneamente já é
   difícil o bastante.

<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
<p>R: É preciso verificar a assinatura do arquivo Release com a
   <a href="http://ftp-master.debian.org/ziyi_key_2003v2.asc";>\
   chave pública</a> usada para armazenamento. o arquivo Release 
   contém os checksums MD5 dos arquivos Packages e Sources, que contêm os
   checksums dos pacotes binários e fontes. Mais informações de como
   verificar integridade dos pacotes pode ser encontrada no <a
   href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
   Manual de Segurança do Debian</a>.</p>

Reply to:

Follow-Ups:
- Re: [wml] mais dois para commit
  - From: Philipe Pereira Gaspar <listscc@terra.com.br>

Prev by Date: [wml] mais dois para commit
Next by Date: [trabalhando] portuguese/devel/website/using_cvs.wml
Previous by thread: Re: [wml] mais dois para commit
Next by thread: Re: [wml] mais dois para commit
Index(es):
- Date
- Thread