[LCFC] wml://www.debian.org/security/disclosure-policy.wml

To: l10n Debian portuguese <debian-l10n-portuguese@lists.debian.org>
Subject: [LCFC] wml://www.debian.org/security/disclosure-policy.wml
From: Thiago Pezzo <pezzo@protonmail.com>
Date: Mon, 17 Aug 2020 12:41:13 +0000
Message-id: <[🔎] AqC-09irNPpZzGdgfHhIJFrekZOg4AqpDSsw8_BCmGTMzw71UY2-4ozYvzeUdBFt-PvfW6LrVkowpuwZBMGG3JGAzreBwAOA6usvs94SEtA=@protonmail.com>
Reply-to: Thiago Pezzo <pezzo@protonmail.com>

Obrigado pela revisão, Carlos. Adicionadas.
Quanto ao arquivo extra, pode mandar se não for dar trabalho. Fica a seu critério.
Segue o arquivo para últimas considerações.

Abraços,
Thiago Pezzo (Tico)

Sent with ProtonMail Secure Email.

‐‐‐‐‐‐‐ Original Message ‐‐‐‐‐‐‐
On Saturday, August 15, 2020 4:03 PM, Carlos Henrique Lima Melara <charlesmelara@outlook.com> wrote:

> Boa tarde, Thiago.
>
> On Fri, Aug 14, 2020 at 02:02:08PM -0300, Carlos Henrique Lima Melara wrote:
>
> > On Mon, Jul 27, 2020 at 04:56:53PM +0000, Thiago Pezzo wrote:
> >
> > > Segue uma nova tradução para revisão.
> >
> > Também farei a revisão desta tradução.
>
> Segue o patch com minhas sugestões de alteração. Também anexei o arquivo
> completo e revisado como justifiquei no email anterior. Se achar
> desnecessário, por favor me avise para eu enviar somente o patch.
>
> Abraços,
> Charles

#use wml::debian::template title="PolÃtica de divulgaÃ§Ã£o de vulnerabilidades do Debian"
#use wml::debian::translation-check translation="5a5aa2dd64b9f93c369cb9c01eafa0bef14dafa8"

Este documento Ã© a polÃtica de divulgaÃ§Ã£o e embargo de vulnerabilidades do
projeto Debian,
como requerido pelo estado do Debian como uma Autoridade Numeradora CVE (CVE
Numbering Authority - Sub-CNA,
<a href="https://cve.mitre.org/cve/cna/rules.html#section_2-3_record_management_rules";>regra 2.3.3</a>).
Por favor, tambÃ©m consulte o <a href="faq">FAQ do time de seguranÃ§a</a> para
informaÃ§Ãµes adicionais sobre procedimentos de seguranÃ§a no Debian.

<h2>Processo geral</h2>

<p>Geralmente, o time de seguranÃ§a do Debian retornarÃ¡ para os relatores(as) de
vulnerabilidade dentro de alguns dias (veja as entradas do FAQ para
<a href="faq#contact">contatando o time de seguranÃ§a</a>
e <a href="faq#discover">relatando vulnerabilidades</a>).

<p>A maioria do software que Ã© parte do sistema operacional Debian
nÃ£o foi escrito especificamente para o Debian. O sistema operacional
Debian como um todo tambÃ©m serve como uma fundaÃ§Ã£o para outras distribuiÃ§Ãµes
GNU/Linux. Isto significa que a maior parte das vulnerabilidades que afetam
o Debian tambÃ©m afetam outras distribuiÃ§Ãµes e, em muitos casos, fornecedores(as)
comerciais de software. Como resultado, a divulgaÃ§Ã£o de vulnerabilidades tem
que ser coordenada com outros grupos, nÃ£o somente com o(a) relator(a) e o Debian
em si.</p>

<p>Um fÃ³rum para esta coordenaÃ§Ã£o Ã© a
<a href="https://oss-security.openwall.org/wiki/mailing-lists/distros";>lista de distribuiÃ§Ãµes</a>.
O time de seguranÃ§a do Debian supÃµe que os(as) pesquisadores(as) de seguranÃ§a
experientes contatem diretamente a lista de distribuiÃ§Ãµes e os projetos
originais afetados. O time de seguranÃ§a do Debian oferecerÃ¡ assistÃªncia para
outros relatores(as) se preciso. Antes de envolver outras partes, a permissÃ£o
dos(as) relatores(as) Ã© obtida.</p>

<h2>Linhas do tempo</h2>

<p>Como mencionado no inÃcio, espera-se que a notificaÃ§Ã£o por e-mail do
relatÃ³rio inicial demore alguns dias no mÃ¡ximo.</p>

<p>Como o tratamento da maioria das vulnerabilidades nos softwares do Debian
requer a coordenaÃ§Ã£o entre vÃ¡rios grupos (desenvolvedores(as) do aplicativo,
outras distribuiÃ§Ãµes), o perÃodo entre o relatÃ³rio inicial da vulnerabilidade e
sua divulgaÃ§Ã£o pÃºblica varia muito, dependendo do software e das organizaÃ§Ãµes
envolvidas.</p>

<p>A lista de distribuiÃ§Ãµes limita o perÃodo de embargo (o perÃodo entre o
relatÃ³rio inicial e a divulgaÃ§Ã£o) em duas semanas. Entretanto, perÃodos mais
longos nÃ£o sÃ£o incomuns, com coordenaÃ§Ã£o adicional antes do compartilhamento
com a lista de distribuiÃ§Ãµes, para acomodar fornecedores(as) com ciclos de
lanÃ§amento mensais ou mesmo trimestrais. O tratamento de vulnerabilidades de
protocolo de Internet pode ser ainda mais longo que aqueles, como tambÃ©m as
tentativas de desenvolvimento de mitigaÃ§Ã£o de vulnerabilidades de hardware no
software.</p>

<h2>Evitando embargos</h2>

<p>Visto que a coordenaÃ§Ã£o no privado tende a causar muito atrito
e torna difÃcil o envolvimento dos(as) especialistas adequados(as) Ã  matÃ©ria, o
Debian encorajarÃ¡ a divulgaÃ§Ã£o pÃºblica de vulnerabilidades mesmo antes de uma
correÃ§Ã£o ter sido desenvolvida, exceto quando tal abordagem claramente coloca
em perigo os(as) usuÃ¡rios(as) do Debian e outros grupos.</p>

<p>O time de seguranÃ§a do Debian frequentemente demandarÃ¡ aos(Ã s) relatores(as)
de vulnerabilidades que preencham um relatÃ³rio de bug pÃºblico no sistema de
rastreamento de bug apropriado (como o <a href="../Bugs/">sistema de
rastreamento de bug do Debian</a>), fornecendo assistÃªncia se necessÃ¡rio.</p>

<p>Um embargo nÃ£o Ã© necessÃ¡rio para atribuiÃ§Ãµes ou crÃ©ditos CVE em um
alerta de seguranÃ§a.</p>

<h2>AtribuiÃ§Ã£o CVE</h2>

<p>O Debian, como um sub-CNA, somente atribui IDs CVE para vulnerabilidades
do Debian. Se uma vulnerabilidade reportada nÃ£o atende este critÃ©rio e
portanto estÃ¡ fora do escopo do CNA do Debian, o time de seguranÃ§a do Debian
buscarÃ¡ uma atribuiÃ§Ã£o do ID CVE de outros CNAs ou guiarÃ¡ o(a) relator(a) na
submissÃ£o de sua prÃ³pria requisiÃ§Ã£o para um ID CVE.</p>

<p>Uma atribuiÃ§Ã£o CVE pelo Debian CNA serÃ¡ tornada pÃºblica com a
publicaÃ§Ã£o do Alerta de SeguranÃ§a do Debian, ou quando o bug for
registrado no sistema de rastreamento de bugs apropriado.</p>

<h2>Vulnerabilidade vs bug regular</h2>

<p>Devido Ã  ampla gama de software que Ã© parte do sistema
operacional Debian, nÃ£o Ã© possÃvel fornecer uma orientaÃ§Ã£o sobre o que
constitui uma vulnerabilidade de seguranÃ§a e sobre o que Ã© somente
um bug de software comum. Quando em dÃºvida, por favor contate o time
de seguranÃ§a do Debian.</p>

<h2>Programa de recompensa de caÃ§a aos bugs</h2>

<p>O Debian nÃ£o oferece um programa de recompensa de caÃ§a aos bugs.
Grupos independentes podem encorajar os(as) relatores(as) a contatÃ¡-los
sobre vulnerabilidades no sistema operacional Debian, mas eles nÃ£o sÃ£o
endossados pelo projeto Debian.</p>

<h2>Vulnerabilidades de infraestrutura do Debian</h2>

<p>RelatÃ³rios de vulnerabilidades na infraestrutura do prÃ³prio Debian sÃ£o
administradas de forma semelhante. Se uma vulnerabilidade de infraestrutura nÃ£o
Ã© o resultado de mÃ¡ configuraÃ§Ã£o, mas uma vulnerabilidade no software que
estÃ¡ sendo usado, a usual coordenaÃ§Ã£o multigrupo serÃ¡ demandada, com
prazos similares aos descritos acima.</p>

Reply to:

Follow-Ups:
- [DONE] wml://www.debian.org/security/disclosure-policy.wml
  - From: Paulo Henrique de Lima Santana <phls@debian.org>

Prev by Date: [LCFC] wml://www.debian.org/devel/website/working.wml
Next by Date: [RFR] wml://www.debian.org/legal/cryptoinmain.wml
Previous by thread: [DONE] wml://www.debian.org/devel/website/working.wml
Next by thread: [DONE] wml://www.debian.org/security/disclosure-policy.wml
Index(es):
- Date
- Thread