[LCFC] wml://www.debian.org/security/faq.wml
Obrigado pela longa revisão, Paulo. Esse deu trabalho.
Segue para últimos comentários.
Abraços,
Thiago Pezzo (Tico)
Sent with ProtonMail Secure Email.
‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐
On Saturday, June 13, 2020 11:55 PM, Thiago Pezzo <pezzo@protonmail.com> wrote:
> Segue o arquivo para revisão.
> Como é grande, sugiro reservar com ITR.
>
> Abraços,
> Thiago Pezzo (Tico)
>
> Sent with ProtonMail Secure Email.
>
> ‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐
> On Tuesday, June 9, 2020 11:41 PM, Thiago Pezzo pezzo@protonmail.com wrote:
>
> > Vou atualizar este arquivo.
> > Abraços,
> > Thiago Pezzo (Tico)
> > Sent with ProtonMail Secure Email.
diff --git a/portuguese/security/faq.wml b/portuguese/security/faq.wml
index 7c562bd2de4..e434002cf95 100644
--- a/portuguese/security/faq.wml
+++ b/portuguese/security/faq.wml
@@ -44,8 +44,8 @@
<toc-add-entry name="handling">Como o Debian lida com a segurança?</toc-add-entry>
<p>R: Assim que o Time de Segurança recebe uma notificação sobre um
incidente, um ou mais membros revisam e avaliam seu impacto sobre
- a versão estável do Debian (ou seja, se ela é vulnerável ou não). Se nosso
- sistema é vulnerável, nós trabalhamos em uma correção para o problema.
+ a versão estável (stable) do Debian (ou seja, se ela é vulnerável ou não). Se
+ nosso sistema é vulnerável, nós trabalhamos em uma correção para o problema.
O(A) mantenedor(a) do pacote é contatado(a) também, se ele(a) já não contatou
o Time de Segurança antes. Finalmente, a correção é testada e novos pacotes
são preparados, compilados em todas as arquiteturas da versão estável e
@@ -63,41 +63,41 @@
Interface) ou a Interface Binária de Aplicação (ABI - Application Binary
Interface), não importa quão pequena seja essa alteração.</p>
-<p>Isso significa que mudar para a nova versão do(a) autor(a) (upstream) não é
- uma boa solução, em vez disso as alterações relevantes devem ser adaptadas
- à versão antiga. Geralmente os(as) autores(as) dessas novas versões se
- dispõem a ajudar se for preciso; caso contrário, o Time de Segurança do
+<p>Isso significa que mudar para a nova versão do(a) autor(a) do software (upstream)
+ não é uma boa solução, em vez disso as alterações relevantes devem ser adaptadas
+ à versão antiga. Geralmente os(as) autores(as) do software dessas novas versões
+ se dispõem a ajudar se for preciso; caso contrário, o Time de Segurança do
Debian está disponÃvel para ajudar.</p>
<p>Em alguns casos não é possÃvel adaptar a versão antiga a uma correção de
segurança, por exemplo quando uma grande quantidade de código-fonte precisa
ser modificada ou reescrita. Se isto acontecer pode ser necessário mudar
- para a nova versão do(a) autor(a), mas isso deve ser coordenado
+ para a nova versão do(a) autor(a) do software, mas isso deve ser coordenado
antecipadamente com o Time de Segurança.</p>
<toc-add-entry name=version>O número de versão de um pacote indica que eu ainda
estou executando uma versão vulnerável!</toc-add-entry>
<p>R: Em vez de atualizar para uma versão nova, nós adaptamos correções
- de segurança das versões mais novas para a versão lançada com a distribuição
- estável. A razão para que façamos isto é certificar-nos de que uma
- distribuição mude o mÃnimo possÃvel, de forma que nada quebre ou mude
+ de segurança das versões mais novas para a versão lançada com a versão
+ estável (stable). A razão para que façamos isto é certificar-nos de que uma
+ versão mude o mÃnimo possÃvel, de forma que nada quebre ou mude
inesperadamente como consequência de uma correção de segurança. Você pode
checar se está executando uma versão segura de um pacote verificando o seu
registro de mudanças, ou comparando o número exato da versão com a versão
- indicada no Alerta de Segurança Debian.</p>
+ indicada no alerta de segurança Debian.</p>
-<toc-add-entry name=archismissing>Eu recebi um alerta, mas uma construção para
-uma arquitetura de processamento parece que está faltando.</toc-add-entry>
+<toc-add-entry name=archismissing>Eu recebi um alerta, mas parece que está faltando
+a construção do pacote para uma arquitetura de processamento .</toc-add-entry>
<p> R: Geralmente, o Time de Segurança lança alertas com construções
dos pacotes atualizados para todas as arquiteturas que o Debian suporta.
Entretanto, algumas arquiteturas são mais lentas que outras e isso pode
levar a que construções estejam prontas para grande parte das arquiteturas,
enquanto outras ainda estejam faltando. Estas pequenas arquiteturas
- representam uma pequena fração de nossa base de usuários(as). Dependendo da
- urgência da questão, nós podemos decidir por lançar um alerta imediatamente.
- As arquiteturas ausentes serão instaladas tão logo quanto estejam prontas,
+ representam uma pequena fração da nossa base de usuários(as). Dependendo da
+ urgência do problema, podemos decidir por lançar um alerta imediatamente.
+ As arquiteturas ausentes serão instaladas tão logo estejam prontas,
mas nenhuma notÃcia será divulgada além disso. Claro que nós nunca
- faremos uso de alertas quando construções i386 ou amd64 não estejam
+ faremos uso de alertas quando construções para i386 ou amd64 não estejam
presentes.
<toc-add-entry name=unstable>Como a segurança é feita na <tt>instável</tt> (<tt>unstable</tt>)?</toc-add-entry>
@@ -116,8 +116,8 @@ de no mÃnimo dois dias, e à s vezes as correções de segurança podem ser adia
pelas transições. O Time de Segurança ajuda a lidar com essas transições que
seguram importantes uploads de segurança, mas isto não é sempre possÃvel e
atrasos podem ocorrer. Especialmente nos meses que sucedem uma nova versão
-estável, quando muitas versões novas são enviadas para a instável (unstable) e
-correções de segurança para a teste (testing) podem atrasar. Se você
+estável (stable), quando muitas versões novas são enviadas para a instável (unstable)
+e correções de segurança para a teste (testing) podem atrasar. Se você
deseja um servidor seguro (e estável), nós fortemente encorajamos que
fique com a estável (stable)</p>
@@ -132,26 +132,26 @@ fique com a estável (stable)</p>
mantenedor(a) do pacote ou outra pessoa fornecer pacotes corrigidos,
o Time de Segurança geralmente irá processá-los e publicar um alerta.</p>
-<toc-add-entry name=sidversionisold>O alerta diz que a instável (<q>unstable</q>)
-foi corrigida na versão 1.2.3-1, mas a instável (<q>unstable</q>) contém a
+<toc-add-entry name=sidversionisold>O alerta diz que a instável (unstable)
+foi corrigida na versão 1.2.3-1, mas a instável (unstable) contém a
versão 1.2.5-1, o que aconteceu?</toc-add-entry>
-<p>R: Nós tentamos listar a primeira versão na instável (<q>unstable</q>) que
+<p>R: Nós tentamos listar a primeira versão na instável (unstable) que
corrigiu o problema. Algumas vezes o(a) mantenedor(a) enviou versões mais
- novas neste meio tempo. Compare a versão na instável (<q>unstable</q>) com a
+ novas neste meio tempo. Compare a versão na instável (unstable) com a
versão que nós indicamos. Se for a mesma ou maior, você estará seguro(a)
com relação a esta vulnerabilidade. Se quiser ter certeza, você pode
verificar o registro de mudanças do pacote com <tt>apt-get changelog
package-name</tt> e procurar pela entrada que mostra a correção.</p>
-<toc-add-entry name=mirror>Por que não há espelhos oficiais de security.debian.org?</toc-add-entry>
+<toc-add-entry name=mirror>Por que não há espelhos oficiais do security.debian.org?</toc-add-entry>
<p>R: Na verdade, eles existem. Há vários espelhos oficiais, implementados
-através de apelidos DNS (<q>DNS aliases</q>). O propósito de security.debian.org
+através de aliases DNS. O propósito do security.debian.org
é tornar as atualizações de segurança disponÃveis da maneira mais rápida e fácil
possÃvel.</p>
-<p>Encorajar o uso de espelhos não-oficiais causaria tanto uma complexidade
- extra desnecessária quanto frustração ao encontrar um desses espelhos
+<p>Encorajar o uso de espelhos não oficiais causaria tanto uma complexidade
+ extra desnecessária, quanto frustração ao encontrar um desses espelhos
desatualizados.</p>
<toc-add-entry name=missing>Vi o DSA 100 e o DSA 102, agora, onde está o DSA 101?</toc-add-entry>
@@ -165,7 +165,7 @@ possÃvel.</p>
ou suporta diversas arquiteturas ou distribuições binárias).
Nosso próprio Time de Segurança também prepara alertas com antecedência.
Dependendo da situação, outros problemas de segurança têm de ser
- trabalhados antes do aviso "parado" ser lançado, e isso
+ trabalhados antes do aviso que está "parado" ser lançado, e isso
causa a lacuna na numeração dos avisos.
</p>
@@ -183,7 +183,7 @@ possÃvel.</p>
cada um(a) dos membros do time, por favor, consulte o servidor de chaves
<a href="https://keyring.debian.org/";>keyring.debian.org</a>.
-<toc-add-entry name=discover>Eu acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
+<toc-add-entry name=discover>Acho que encontrei um problema de segurança, o que devo fazer?</toc-add-entry>
<p>R: Se você descobrir um problema de segurança, tanto em um dos seus pacotes
ou de outra pessoa, por favor, sempre entre em contato com o Time de
@@ -212,11 +212,11 @@ possÃvel.</p>
segurança e mantêm o security.debian.org.</p>
<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Referência para Desenvolvedores(as)</a> tem instruções completas do que
+ referência para desenvolvedores(as)</a> tem instruções completas do que
fazer.</p>
<p>� particularmente importante que você não faça o upload para nenhuma outra
- distribuição além da instável (unstable) sem antes entrar em acordo com o
+ versão além da instável (unstable) sem antes entrar em acordo com o
Time de Segurança, pois ignorar o Time de Segurança pode causar confusão e
mais trabalho.</p>
@@ -247,7 +247,7 @@ diretamente para security.debian.org?</toc-add-entry>
modificações.</p>
<p>O documento <a href="$(DOC)/developers-reference/pkgs.html#bug-security">\
- Referências para Desenvolvedores(as)</a> tem instruções
+ referências para desenvolvedores(as)</a> tem instruções
completas do que fazer.</p>
<toc-add-entry name=ppu>Eu tenho uma correção de bug, posso então enviar para o
@@ -257,10 +257,10 @@ diretamente para security.debian.org?</toc-add-entry>
uma vez que isso interfere demais no trabalho do Time de Segurança.
Os pacotes do security.debian.org serão copiados para o diretório
<q>proposed-updates</q> automaticamente. Se um pacote com o mesmo número
- de versão ou com um número maior já se encontra no arquivo, a atualização
+ de versão ou com um número maior já se encontra no repositório, a atualização
de segurança será rejeitada pelo sistema de arquivamento. Dessa forma, a
- distribuição estável ficará sem uma atualização de segurança para este
- pacote, a menos que o pacote <q>errado</q> do diretório
+ versão estável (stable) ficará sem uma atualização de segurança para este
+ pacote, a menos que o pacote <q>errado</q> do repositório
<q>proposed-updates</q> seja rejeitado. Por favor, em vez disso, contate o
Time de Segurança, inclua todos os detalhes da vulnerabilidade e anexe os
arquivos-fonte (por exemplo, diff.gz e arquivos dsc) em seu e-mail.</p>
@@ -269,14 +269,14 @@ diretamente para security.debian.org?</toc-add-entry>
Referências para Desenvolvedores(as)</a> tem instruções completas do que
fazer.</p>
-<toc-add-entry name=SecurityUploadQueue>Eu tenho certeza que meus pacotes estão
+<toc-add-entry name=SecurityUploadQueue>Tenho certeza que meus pacotes estão
corretos, como posso enviá-los?</toc-add-entry>
<p>R: Se você tem absoluta certeza que seus pacotes não quebrarão alguma
- coisa; que a versão está correta (exemplo: maior do que a versão na estável
- e menor do que a versão na teste/instável); que
+ coisa; que a versão está correta (exemplo: maior do que a versão na estável (stable)
+ e menor do que a versão na teste/instável (testing/unstable)); que
você não alterou o comportamento do pacote apesar do problema de segurança
- em questão; que você o compilou para a distribuição correta (que é a
+ em questão; que você o compilou para a versão correta (que é a
<code>oldstable-security</code> ou <code>stable-security</code>); que o
pacote contém o código-fonte original se for novo no security.debian.org; que
você pode confirmar que a correção (patch) da versão mais recente está
@@ -284,7 +284,7 @@ corretos, como posso enviá-los?</toc-add-entry>
foi modificada (verifique com <code>interdiff -z</code> e ambos arquivos
<code>.diff.gz</code>); que você tenha revisado a correção (patch) pelo menos
três vezes; e que o <code>debdiff</code> não tenha mostrado nenhuma mudança,
- você pode enviar os arquivos diretamente para o diretório de entrada
+ você pode enviar os arquivos diretamente para o repositório de entrada
(incoming)
<code>ftp://ftp.security.upload.debian.org/pub/SecurityUploadQueue</code> em
security.debian.org. Por favor, envie também uma notificação com todos
@@ -293,28 +293,28 @@ corretos, como posso enviá-los?</toc-add-entry>
<toc-add-entry name=help>Como posso ajudar com a segurança?</toc-add-entry>
<p>R: Por favor, reveja cada problema antes de informá-lo ao
security@debian.org. Se você for capaz de fornecer correções (patches),
- isto aumentará a velocidade do processo. Não encaminhe
- e-mails do bugtraq, simplesmente porque nós já os recebemos
+ isto aumentará a velocidade do processo. Não encaminhe simplesmente
+ e-mails do bugtraq, porque nós já os recebemos
— mas nos forneça informações adicionais sobre
o que foi relatado no bugtraq.</p>
<p>Uma boa forma de começar no trabalho de segurança é ajudando
- com o Rastreador de Segurança Debian (<a
+ com o rastreador de segurança Debian (Debian Security Tracker) (<a
href="https://security-tracker.debian.org/tracker/data/report";>instruções</a>).</p>
<toc-add-entry name=proposed-updates>Qual é o escopo do proposed-updates?</toc-add-entry>
-<p>R: Este diretório contém pacotes que são sugeridos para entrar
- na próxima versão estável do Debian. Sempre que pacotes são enviados
- por um(a) mantenedor(a) para a distribuição estável, eles acabam no
+<p>R: Este repositório contém pacotes que são sugeridos para entrar
+ na próxima versão estável (stable) do Debian. Sempre que pacotes são enviados
+ por um(a) mantenedor(a) para a versão estável, eles acabam no
diretório proposed-updates. Já que a estável é feita para ser estável,
não são realizadas atualizações automáticas. O Time de Segurança enviará
- pacotes corrigidos, mencionados em alertas, para a estável, no entanto eles
- serão colocados antes no proposed-updates. A cada dois meses, o(a)
- gerente da distribuição estável confere a lista de pacotes
+ pacotes corrigidos, mencionados em alertas, para a estável, no
+ entanto eles serão colocados antes no proposed-updates. A cada dois meses, o(a)
+ gerente da versão estável confere a lista de pacotes
do proposed-updates e discute se um pacote serve ou não para a
estável. Os escolhidos são compilados em uma nova versão da estável
(por exemplo, 2.2r3 ou 2.2r4). Pacotes que não se encaixam na versão estável
- provavelmente serão rejeitados e também descartados do proposed-updates.
+ provavelmente serão rejeitados e também retirados do proposed-updates.
</p>
<p>Note que pacotes com uploads feitos por mantenedores(as) (não pelo Time
@@ -327,40 +327,40 @@ corretos, como posso enviá-los?</toc-add-entry>
O próprio Time de Segurança designa pessoas para se juntar ao grupo.</p>
<toc-add-entry name=lifespan>Por quanto tempo as atualizações de segurança são fornecidas?</toc-add-entry>
-<p>R: O Time de Segurança tenta dar suporte à distribuição estável por mais
- ou menos um ano depois que uma próxima distribuição estável é lançada, exceto
- quando uma outra distribuição estável é lançada neste perÃodo. Ã? impossÃvel
- dar suporte a três distribuições; dar suporte a duas simultaneamente já é
+<p>R: O Time de Segurança tenta dar suporte à distribuição estável (stable) por mais
+ ou menos um ano depois que uma próxima versão estável é lançada, exceto
+ quando uma outra versão estável é lançada neste perÃodo. Ã? impossÃvel
+ dar suporte a três versões; dar suporte a duas simultaneamente já é
difÃcil o bastante.
</p>
<toc-add-entry name=check>Como verifico a integridade de um pacote?</toc-add-entry>
<p>R: Ã? preciso verificar a assinatura do arquivo Release contra a
<a href="https://ftp-master.debian.org/keys.html";>\
- chave pública</a> usada para armazenamento. O arquivo Release
+ chave pública</a> usada no repositório. O arquivo Release
contém os checksums dos arquivos Packages e Sources, e estes contêm os
checksums dos pacotes binários e fontes. Mais informações de como
verificar a integridade dos pacotes podem ser encontradas no <a
href="$(HOME)/doc/manuals/securing-debian-howto/ch7#s-deb-pack-sign">\
- Manual de segurança do Debian</a>.</p>
+ manual de segurança do Debian</a>.</p>
<toc-add-entry name=break>O que fazer quando um pacote aleatório quebra após
uma atualização de segurança?</toc-add-entry>
<p>R: Antes de mais nada, você deve descobrir por que o pacote quebrou e como
- isto está conectado à atualização de segurança, então contate o time de
- segurança se isto for sério ou o(a) gerente da distribuição estável se for
+ isto está conectado à atualização de segurança, então contate o Time de
+ Segurança se isto for sério ou o(a) gerente da versão estável (stable) se for
menos sério. Nós estamos falando de pacotes aleatórios que quebram após uma
- atualização de segurança de um pacote diferente. Se você não pode descobrir
- o que deu errado, mas tem uma correção, fale com o Time de Segurança também.
- Ã? possÃvel que você seja redirecionado ao(à ) gerente da distribuição
+ atualização de segurança de um pacote diferente. Se você não consegue descobrir
+ o que está dando errado, mas tem uma correção, fale com o Time de Segurança também.
+ Ã? possÃvel que você seja redirecionado ao(à ) gerente da verão
estável.</p>
<toc-add-entry name=cvewhat>O que é um identificador CVE?</toc-add-entry>
-<p>R: O projeto Vulnerabilidades e Exposições Comuns (Common Vulnerabilities
- and Exposures) determina nomes exclusivos, chamados identificadores
- CVE, para vulnerabilidades de segurança especÃficas, de modo que seja mais
- fácil fazer referências a uma determinada questão. Mais informações podem ser
+<p>R: O projeto Common Vulnerabilities and Exposures (Vulnerabilidades e
+ Exposições Comuns) determina nomes exclusivos, chamados identificadores
+ CVE, para especificar vulnerabilidades de segurança, de modo que seja mais
+ fácil fazer referências a um determinado problema. Mais informações podem ser
encontradas na <a
href="http://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures";>\
Wikipedia</a>.</p>
@@ -371,24 +371,24 @@ corretos, como posso enviá-los?</toc-add-entry>
Debian - o fato de que algo foi identificado como CVE não implica
necessariamente que é uma ameaça séria para o sistema Debian.
Esta informação é monitorada no
- <a href="https://security-tracker.debian.org";>Rastreador de Segurança Debian</a>
+ <a href="https://security-tracker.debian.org";>Debian Security Tracker (Rastreador de Segurança Debian)</a>
e, para casos que são considerados sérios, será lançado um Alerta de
Segurança Debian.</p>
<p>Casos de baixo impacto que não se qualificam como DSA podem ser corrigidos na
- próxima versão do Debian, numa versão pontual das atuais distribuições
- estável ou <q>oldstable</q>, ou incluÃdos num DSA quando referirem-se
+ próxima versão do Debian, em uma versão pontual das atuais distribuições
+ estável (stable) ou antiga (oldstable), ou incluÃdos num DSA quando referirem-se
à vulnerabilidades mais sérias.</p>
<toc-add-entry name=cveget>O Debian pode definir identificadores CVE?</toc-add-entry>
-<p>R: O Debian é uma Autoridade de Numeração CVE (CVE Numbering Authority) e
+<p>R: O Debian é uma CVE Numbering Authority (Autoridade de Numeração CVE) e
pode definir identificadores, mas seguindo a polÃtica CVE, somente para casos
ainda desconhecidos. Se você possui uma vulnerabilidade de segurança
desconhecida para softwares do Debian e gostaria de definir um identificador
para ela, contate o Time de Segurança. Para casos em que a vulnerabilidade já
- é pública, nós sugerimos que você siga o procedimento detalhado no documento
+ é pública, sugerimos que você siga o procedimento detalhado no documento
<a href="https://github.com/RedHatProductSecurity/CVE-HOWTO";>\
- Como fazer uma Requisição de CVE Código Aberto</a> (CVE OpenSource
+ como fazer uma requisição de CVE para código aberto</a> (CVE OpenSource
Request).</p>
<toc-add-entry name=disclosure-policy>O Debian possui uma polÃtica de revelação de vulnerabilidades?</toc-add-entry>
@@ -399,8 +399,8 @@ vulnerabilidades</a> como parte de sua participação no programa CVE.</p>
<h1>FAQ de segurança Debian descontinuado</h1>
<toc-add-entry name=localremote>O que significa <q>local (remote)</q>?</toc-add-entry>
-<p><b>O campo <i>Tipo do problema</i> nos e-mails DSA não são mais usados desde
-abril de 2014.</b><br/>
+<p><b>O campo <i>Problem type (tipo de problema)</i> nos e-mails DSA não são mais
+ usados desde abril de 2014.</b><br/>
R: Alguns alertas tratam de vulnerabilidades que não podem ser identificadas
usando o esquema clássico de explorações locais ou remotas. Algumas
vulnerabilidades não podem ser exploradas remotamente, ou seja, não
@@ -412,5 +412,5 @@ abril de 2014.</b><br/>
<p>Essas vulnerabilidades estão entre as vulnerabilidades locais e
remotas, e muitas vezes dizem respeito a arquivos que poderiam ser
- disponibilizados através da rede, como um anexo de correio eletrônico
+ disponibilizados através da rede, como um anexo de e-mail
ou por uma página de download.</p>
Reply to: