[LCFC] wml://webwml/portuguese/security/faq.wml
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 04/04/2006 01:53 AM, Augusto Cezar Amaral wrote:
> On 3/29/06, Felipe Augusto van de Wiel (faw) <felipe@cathedrallabs.org> wrote:
>>On 03/29/2006 03:19 PM, Augusto Cezar Amaral da C Silva wrote:
>>>eduardo tião wrote:
>>>>>Atualização do FAQ.
>>>
>>>Segue diff da revisão.
>>>
>>>- Correção do número de revisão
>>>- Correção de pontuação
>>>- Sugestões de tradução
>>>- Substituição de alguns termos utilizados
>>
>> Eu apóio as modificações que você fez e recomendo que o
>>Eduardo adote-as. Inclusive as correções de localização. Eduardo,
>>você poderia aplicar o patch e reenviar o faq.wml para revisão?
>>Assim podemos proceder para o DONE rapidamente. :)
>>
>> Mas há um detalhe importante, vamos ter que fazer outros
>>ajustes na tradução, a última questão em inglês é:
[...]
> Além de incorporar as mudanças aceitas, fiz o seguinte:
>
> - "equipe" -> "time" (uma ocorrência, só pra padronizar :P)
> - sugestão de tradução
> - erros de digitação
Seguindo a onda de revisão geral, fiz uma revisão completa
e estou mandando o patch, aguardo sua aprovação pra podermos enviar
ao repositório.
Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
Comment: Using GnuPG with Debian - http://enigmail.mozdev.org
iD8DBQFEOdRpCjAO0JDlykYRAocBAKCyMczt3UiPBEjfQyJ32Bp7ZqkvNwCgtliw
InI3mLGZVcZPHssXtjYkxpI=
=KT0d
-----END PGP SIGNATURE-----
--- acacs-faq.wml 2006-04-10 00:41:22.682226880 -0300
+++ faw-faq.wml 2006-04-10 00:40:47.265611024 -0300
@@ -7,8 +7,7 @@
<maketoc>
-<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus
- alertas!</toc-add-entry>
+<toc-add-entry name=signature>Não consegui verificar corretamente a assinatura em seus alertas!</toc-add-entry>
<p>R: Provavelmente você está fazendo algo errado. A lista
<a href="http://lists.debian.org/debian-security-announce/">\
debian-security-announce</a> possui um filtro que só permite que mensagens
@@ -16,9 +15,9 @@
postadas.</p>
<p>Provavelmente, seu software de e-mail está alterando sutilmente
- a mensagem, o que invalida a assinatura.
- Certifique-se de que seu programa não faça codificação ou decodificação
- MIME, assim como conversões de tabulação/espaços.</p>
+ a mensagem, o que invalida a assinatura. Certifique-se de que seu
+ programa não faça codificação ou decodificação MIME, assim como
+ conversões de tabulação/espaços.</p>
<p>Alguns softwares que fazem isso são o fetchmail (com a opção mimedecode
habilitada), o formail (do procmail versão 3.14) e o evolution.</p>
@@ -38,12 +37,12 @@
de determinado pacote?</toc-add-entry>
<p>R: A regra mais importante quando está se fazendo um novo pacote que corrige
- problemas de segurança é fazer o menor número possível de alterações. Nossos usuários e
- desenvolvedores estão confiando no comportamento correto de uma versão, uma
- vez que ela é lançada, então qualquer mudança que fazemos tem o potencial de
- quebrar o sistema de alguém. Isso é verdade especialmente no caso de bibliotecas:
- certifique-se de nunca modificar as Application Program Interfaces (APIs)
- ou Application Binary Interfaces (ABIs), não importa quão
+ problemas de segurança é fazer o menor número possível de alterações. Nossos
+ usuários e desenvolvedores estão confiando no comportamento correto de uma
+ versão, uma vez que ela é lançada, então qualquer mudança que fazemos tem o
+ potencial de quebrar o sistema de alguém. Isso é verdade especialmente no
+ caso de bibliotecas: certifique-se de nunca modificar a Application Program
+ Interface (APIs) ou Application Binary Interfaces (ABIs), não importa quão
pequena seja essa alteração.</p>
<p>Isso significa que mudar para a nova versão do autor não é uma boa
@@ -53,10 +52,10 @@
ajudar.</p>
<p>Em alguns casos não é possível adaptar a versão antiga a uma correção de
- segurança, por exemplo quando uma grande quantidade de código fonte precisa ser
- modificada ou reescrita. Se isto acontecer pode ser necessário mudar para a
- nova versão do autor, mas isso deve ser coordenado antecipadamente com o
- Time de Segurança.</p>
+ segurança, por exemplo quando uma grande quantidade de código fonte precisa
+ ser modificada ou reescrita. Se isto acontecer pode ser necessário mudar
+ para a nova versão do autor, mas isso deve ser coordenado antecipadamente
+ com o Time de Segurança.</p>
<toc-add-entry name=policy>Qual é a política usada para que pacotes corrigidos
apareçam no security.debian.org?</toc-add-entry>
@@ -70,11 +69,12 @@
irão entrar no security.debian.org. Por favor, veja abaixo.</p>
<p>Atualizações de segurança têm um único propósito: fornecer uma correção para
- uma vulnerabilidade relacionada à segurança. Elas não são um método para enviar
- mudanças adicionais à versão estável sem realizar o procedimento de lançamento normal.</p>
+ uma vulnerabilidade relacionada à segurança. Elas não são um método para
+ enviar mudanças adicionais à versão estável sem realizar o procedimento de
+ lançamento normal.</p>
<toc-add-entry name=localremote>O que significa "local (remote)"?</toc-add-entry>
-<p>R:Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
+<p>R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
usando o esquema clássico de explorações locais ou remotas. Algumas
vulnerabilidades não podem ser exploradas remotamente, ou seja, não
correspondem a um <em>daemon</em> associado a uma porta de rede.
@@ -85,46 +85,47 @@
<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
as remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
- disponibilizados através rede, como um anexo de correio eletrônico
+ disponibilizados através da rede, como um anexo de correio eletrônico
ou por uma página de download.</p>
<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda
estou executando uma versão vulnerável!</toc-add-entry>
<p>R: Ao invés de atualizar para uma versão nova nós adaptamos correções
de segurança das versões mais novas para a versão lançada com a distribuição
- estável. A razão para que façamos isto é certificar-nos de que uma distribuição
- mude o mínimo possível, de forma que nada quebre ou mude inesperadamente,
- como conseqüência de uma correção de segurança. Você pode checar se
- está executando uma versão segura de um pacote verificando o seu registro
- de mudanças, ou comparando o número exato da versão com a versão indicada
- no Alerta de Segurança Debian.</p>
+ estável. A razão para que façamos isto é certificar-nos de que uma
+ distribuição mude o mínimo possível, de forma que nada quebre ou mude
+ inesperadamente, como conseqüência de uma correção de segurança. Você pode
+ checar se está executando uma versão segura de um pacote verificando o seu
+ registro de mudanças, ou comparando o número exato da versão com a versão
+ indicada no Alerta de Segurança Debian.</p>
-<toc-add-entry name=testing>Como a segurança é feita na distribuição <tt>"testing"</tt> e na
- <tt>"unstable"</tt>?</toc-add-entry>
+<toc-add-entry name=testing>Como a segurança é feita na distribuição <tt>teste ("testing")</tt> e na <tt>instável ("unstable")</tt>?</toc-add-entry>
-<p>R: A resposta curta é: não é feita. As distribuições "testing" (em teste) e
- "unstable" (instável) estão em constante alteração e o Time de Segurança não
+<p>R: A resposta curta é: não é feita. As distribuições teste ("testing") e
+ instável ("unstable") estão em constante alteração e o Time de Segurança não
possui os recursos necessários para suportá-las devidamente. Se quer ter um
- servidor seguro (e estável), nós recomendamos fortemente que continue com a distribuição
- "stable" (estável). Entretanto, há um esforço em andamento para mudar isso, com a formação do
- <a href="http://secure-testing-master.debian.net/">time de segurança para a "testing"</a>,
+ servidor seguro (e estável), nós recomendamos fortemente que continue com a
+ distribuição estável ("stable"). Entretanto, há um esforço em andamento para
+ mudar isso, com a formação do
+ <a href="http://secure-testing-master.debian.net/">time de segurança da "testing"</a>,
que já começou a trabalhar para oferecer suporte à segurança da distribuição
- "testing" e, em certo nível, da distribuição "unstable".</p>
+ teste ("testing") e, em certo nível, da distribuição instável ("unstable").
+ </p>
-<toc-add-entry name=testing-security>Como a distribuição <tt>"testing"</tt>
-recebe atualizações de segurança?</toc-add-entry>
+<toc-add-entry name=testing-security>Como a distribuição <tt>teste ("testing")</tt> recebe atualizações de segurança?</toc-add-entry>
<p>R: Atualizações de segurança irão migrar para a distribuição
- <tt>"testing"</tt> através da <tt>"unstable"</tt>. Elas geralmente são
- feitas com alta prioridade, reduzindo o tempo de quarentena para dois
- dias. Após este período, os pacotes irão migrar para a
- <tt>"testing"</tt> automaticamente, supondo-se que tenham sido construídos
- para todas as arquiteturas e que suas dependências possam ser satisfeitas
- na <tt>"testing"</tt>.</p>
+ <tt>teste ("testing")</tt> através da <tt>instável ("unstable")</tt>. Elas
+ geralmente são feitas com alta prioridade, reduzindo o tempo de quarentena
+ para dois dias. Após este período, os pacotes irão migrar para a
+ <tt>teste ("testing")</tt> automaticamente, supondo-se que tenham sido
+ construídos para todas as arquiteturas e que suas dependências possam ser
+ satisfeitas na <tt>teste ("testing")</tt>.</p>
<p>O <a href="http://secure-testing-master.debian.net/">time de segurança
- para a "testing"</a> também disponibiliza correções de segurança em seu repositório
- quando o processo normal de migração não é rápido o suficiente.</p>
+ para a "testing"</a> também disponibiliza correções de segurança em seu
+ repositório quando o processo normal de migração não é rápido o suficiente.
+ </p>
<toc-add-entry name=contrib>Como a segurança é feita para o <tt>"contrib"</tt> e <tt>"non-free"</tt>?</toc-add-entry>
@@ -152,8 +153,8 @@
de variações do BSD) coordenam alertas de segurança para alguns
incidentes e concordam com uma determinada linha de tempo para
que todos os distribuidores possam lançar um aviso ao mesmo tempo.
- Isso foi decidido para que não haja discriminação com alguns distribuidores que
- precisam de mais tempo (por exemplo, quando o distribuidor tem de
+ Isso foi decidido para que não haja discriminação com alguns distribuidores
+ que precisam de mais tempo (por exemplo, quando o distribuidor tem de
passar os pacotes por longos testes de controle de qualidade
ou suporta diversas arquiteturas ou distribuições binárias).
Nosso Time de Segurança também prepara avisos com antecedência.
@@ -176,12 +177,12 @@
<toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes
- ou de outro desenvolvedor, por favor, entre em contato com o Time de Segurança.
- Se o Time de Segurança do Debian confirmar a vulnerabilidade e outros
- distribuidores também estiverem vulneráveis, eles geralmente contatam estes
- outros distribuidores. Se a vulnerabilidade ainda não é pública eles tentam
- coordenar os alertas de segurança com os dos outros distribuidores para que
- todas as principais distribuições fiquem sincronizadas.</p>
+ ou de outro desenvolvedor, por favor, entre em contato com o Time de
+ Segurança. Se o Time de Segurança do Debian confirmar a vulnerabilidade e
+ outros distribuidores também estiverem vulneráveis, eles geralmente contatam
+ estes outros distribuidores. Se a vulnerabilidade ainda não é pública eles
+ tentam coordenar os alertas de segurança com os dos outros distribuidores
+ para que todas as principais distribuições fiquem sincronizadas.</p>
<p>Se a vulnerabilidade já tiver sido divulgada publicamente, certifique-se
de preencher um relatório de bug no Debian BTS e marcá-lo como "security".</p>
@@ -196,19 +197,18 @@
Segurança. Você pode se comunicar com eles através do e-mail
team@security.debian.org. Eles mantêm um relatório do andamento dos
problemas de segurança, podem ajudar mantenedores com problemas de segurança
- ou até mesmo consertar eles mesmos estes problemas, são responsáveis por mandar
- os alertas de segurança e mantêm o security.debian.org.</p>
+ ou até mesmo consertar eles mesmos estes problemas, são responsáveis por
+ mandar os alertas de segurança e mantêm o security.debian.org.</p>
<p>O documento <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
Developer's Reference (Referência para Desenvolvedores)</a> tem instruções
completas do que fazer.</p>
<p>É particularmente importante que você não faça o upload para nenhuma outra
- distribuição além da "unstable" sem antes conversar com o Time de
+ distribuição além da instável ("unstable") sem antes conversar com o Time de
Segurança, pois isso pode causar confusão e mais trabalho.</p>
-<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança,
- mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry>
+<toc-add-entry name=enofile>Eu tentei baixar um pacote listado em um dos alertas de segurança, mas recebo um erro do tipo 'arquivo não encontrado'.</toc-add-entry>
<p>R: Quando algum pacote que leva uma correção de bug substitui um pacote
antigo em security.debian.org, as chances de que o antigo seja removido
@@ -228,9 +228,10 @@
<p>R: Não, você não pode. O repositório em security.debian.org é mantido
pelo Time de Segurança, que deve aprovar todos os pacotes. Em vez disso,
- você pode enviar patches ou pacotes-fonte apropriados para o Time de Segurança
- pelo e-mail team@security.debian.org. Eles serão revisados pelo Time de Segurança
- e eventualmente enviados ao repositório, com ou sem modificações.</p>
+ você pode enviar patches ou pacotes-fonte apropriados para o Time de
+ Segurança pelo e-mail team@security.debian.org. Eles serão revisados pelo
+ Time de Segurança e eventualmente enviados ao repositório, com ou sem
+ modificações.</p>
<p>Se você não está acostumado com uploads de segurança e não tem
100% de certeza que seu pacote está correto, por favor use esta
@@ -254,30 +255,30 @@
Pacotes do security.debian.org serão copiados para o diretório
"proposed-updates" automaticamente. Se um pacote com o mesmo número
de versão ou com um número mais alto já se encontra no arquivo, a atualização
- de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a distribuição
- estável ficará sem uma atualização de segurança para este pacote, a menos
- que o pacote "errado" do diretório "proposed-updates" seja rejeitado.
- Por favor, em vez disso, contate o Time de Segurança, inclua todos os detalhes da
- vulnerabilidade e anexe os arquivos fontes (por exemplo, diff.gz e arquivos
- dsc) em seu e-mail.</p>
+ de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a
+ distribuição estável ficará sem uma atualização de segurança para este
+ pacote, a menos que o pacote "errado" do diretório "proposed-updates" seja
+ rejeitado. Por favor, em vez disso, contate o Time de Segurança, inclua
+ todos os detalhes da vulnerabilidade e anexe os arquivos fontes (por
+ exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
<p>O manual <a href="$(DOC)/developers-reference/ch-pkgs#s-bug-security">\
Developer's Reference (Referências para Desenvolvedores)</a> tem instruções completas do que fazer.</p>
-<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos,
- como posso enviá-los?</toc-add-entry>
+<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão corretos, como posso enviá-los?</toc-add-entry>
-<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma coisa, que
- a versão está correta (exemplo: maior do que a versão na "stable" e menor do que
- a versão na "testing/unstable"), que você não alterou o comportamento do pacote,
- apesar do problema de segurança correspondente, que você compilou ele para a
- distribuição correta (que é a <code>oldstable-security</code> ou
- <code>stable-security</code>), que contém o código fonte original se o pacote
- for novo no security.debian.org, que você pode confirmar que o patch da versão
- mais recente é claro e somente foi modificada a parte relacionada com o problema de
- segurança correspondente (verifique com <code>interdiff -z</code> e ambos
- arquivos <code>.diff.gz</code>), que você tenha revisado o patch pelo menos
- três vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
+<p>R: Se você tem absoluta certeza que seus pacotes não irão quebrar alguma
+ coisa, que a versão está correta (exemplo: maior do que a versão na "stable"
+ e menor do que a versão na "testing/unstable"), que você não alterou o
+ comportamento do pacote, apesar do problema de segurança correspondente, que
+ você compilou ele para a distribuição correta (que é a
+ <code>oldstable-security</code> ou <code>stable-security</code>), que contém
+ o código fonte original se o pacote for novo no security.debian.org, que
+ você pode confirmar que o patch da versão mais recente é claro e somente
+ foi modificada a parte relacionada com o problema de segurança
+ correspondente (verifique com <code>interdiff -z</code> e ambos arquivos
+ <code>.diff.gz</code>), que você tenha revisado o patch pelo menos três
+ vezes, e que o <code>debdiff</code> não tenha mostrado nenhuma mudança, você
pode enviar diretamente os arquivos para o diretório "incoming"
<code>ftp://security-master.debian.org/pub/SecurityUploadQueue</code> em
security.debian.org. Por favor, envie também uma notificação com todos
@@ -298,8 +299,8 @@
diretório "proposed-updates". Já que a estável é feita para ser estável,
atualizações automáticas não são realizadas. O Time de Segurança irá
enviar pacotes corrigidos mencionados em alertas para a estável,
- no entanto, eles serão colocados no "proposed-updates" antes. A cada dois meses,
- o Gerente da Distribuição Estável confere a lista de pacotes
+ no entanto, eles serão colocados no "proposed-updates" antes. A cada dois
+ meses, o Gerente da Distribuição Estável confere a lista de pacotes
do "proposed-updates" e discute se um pacote serve ou não para a estável.
Então, os escolhidos são compilados em uma nova versão da estável
(e.x. 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
Reply to: