[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

[DONE] wml://security/disclosure-policy.wml

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

- --- english/security/disclosure-policy.wml	2020-05-06 20:41:17.485346701 +0500
+++ russian/security/disclosure-policy.wml	2020-06-23 11:15:40.859850873 +0500
@@ -1,103 +1,105 @@
- -#use wml::debian::template title="Debian Vulnerability Disclosure Policy"
+#use wml::debian::template title="Политика раскрытия информации об уязвимостях Debian"
+#use wml::debian::translation-check translation="5a5aa2dd64b9f93c369cb9c01eafa0bef14dafa8" maintainer="Lev Lamberov"
 
- -This document is the vulnerability disclosure and embargo policy of the
- -Debian project,
- -as required by Debian's status as a CVE Numbering Authority 
+Данный документ является политикой раскрытия информации об уязвимостях и политикой эмбарго
+Проекта Debian,
+поскольку такой документ требуется в соответствии со статусом Debian как организации,
+назначающей идентификаторы CVE
 (Sub-CNA, <a href="https://cve.mitre.org/cve/cna/rules.html#section_2-3_record_management_rules";>rule 2.3.3</a>).
- -Please also consult the <a href="faq">Security Team FAQ</a> for
- -additional information on Debian security procedures.
+За дополнительной информацией о безопасности в Debian обращайтесь к
+<a href="faq">ЧАВО команды безопасности</a>.
 
- -<h2>General Process</h2>
+<h2>Общий процесс</h2>
 
- -<p>The Debian security team will typically get back to vulnerability
- -reporters within several days. (See the FAQ entries for
- -<a href="faq#contact">contacting the security team</a>
- -and <a href="faq#discover">reporting vulnerabilities</a>.)
- -
- -<p>Most of the software that is part of the Debian operating system
- -has not been specifically written for Debian. The Debian operating
- -system as a whole also serves as a the foundation for other GNU/Linux
- -distributions. This means that most vulnerabilities affecting Debian
- -also affect other distributions, and, in many cases, commercial
- -software vendors. As a result, the disclosure of vulnerabilities has
- -to be coordinated with other parties, not just the reporter and Debian
- -itself.</p>
- -
- -<p>One forum for such coordination is the
- -<a href="https://oss-security.openwall.org/wiki/mailing-lists/distros";>distros list</a>.
- -The Debian security team expects that experienced security
- -researchers contact the distros list and affected upstream projects
- -directly. The Debian security team will provide assistance to other
- -reporters as needed. Before involving third parties, permission from
- -reporters is obtained.</p>
- -
- -<h2>Timelines</h2>
- -
- -<p>As mentioned at the start, acknowledgment via email of the initial
- -report is expected to take several days at most.</p>
- -
- -<p>Since addressing most vulnerabilities in Debian software requires
- -coordination among several parties (upstream developers, other
- -distributions), the time between initial report of a vulnerability and
- -its public disclosure varies a lot depending on the software and
- -organizations involved.</p>
- -
- -<p>The distros list limits embargo periods (time between initial
- -report and disclosure) to two weeks. However, longer periods are not
- -uncommon, with additional coordination before sharing with the distros
- -list, to accommodate vendors with monthly or even quarterly release
- -cycles. Addressing Internet protocol vulnerabilities can take even
- -longer than that, and so does developing attempts to mitigate hardware
- -vulnerabilities in software.</p>
- -
- -<h2>Avoiding Embargoes</h2>
- -
- -<p>Since coordination in private tends to cause a lot of friction and
- -makes it difficult to involve the right subject matter experts, Debian
- -will encourage public disclosure of vulnerabilities even before a fix
- -has been developed, except when such an approach would clearly
- -endanger Debian users and other parties.</p>
- -
- -<p>The Debian security team will often ask reporters of
- -vulnerabilities to file public bug reports in the appropriate bug
- -tracker(s) (such as the <a href="../Bugs/">Debian
- -bug tracking system</a>), providing assistance as needed.</p>
- -
- -<p>An embargo is not needed for CVE assignment or credit in a security
- -advisory.</p>
- -
- -<h2>CVE Assignment</h2>
- -
- -<p>Debian, as a sub-CNA, only assigns CVE IDs for Debian
- -vulnerabilities. If a reported vulnerability does not meet this
- -criterion and is therefore out of scope for the Debian CNA, the Debian
- -security team will either arrange for CVE ID assignment from other
- -CNAs, or guide the reporter on submitting their own request for a CVE
- -ID.</p>
- -
- -<p>A CVE assignment by the Debian CNA will be made public with the
- -publication of the Debian Security Advisory, or when the bug is filed
- -in the appropriate bug tracker(s).</p>
- -
- -<h2>Vulnerability vs regular bug</h2>
- -
- -<p>Due to the wide range of software that is part of the Debian
- -operating system, it is not possible to provide guidance what
- -constitutes a security vulnerability and what is just an ordinary
- -software bug.  When in doubt, please contact the Debian security
- -team.</p>
- -
- -<h2>Bug Bounty Program</h2>
- -
- -<p>Debian does not offer a bug bounty program. Independent parties may
- -encourage reporters to contact them about vulnerabilities in the
- -Debian operating system, but they are not endorsed by the Debian
- -project.</p>
- -
- -<h2>Debian Infrastructure Vulnerabilities</h2>
- -
- -<p>Reports of vulnerabilities in Debian infrastructure itself are
- -handled in the same way. If the infrastructure vulnerability is not
- -the result of a misconfiguration, but a vulnerability in the software
- -being used, the usual multi-party coordination is required, with
- -similar time frames as described above.</p>
+<p>Команда безопасности Debian обычно связывается с пользователями, сообщившими об
+уязвимости в течение нескольких дней. (См. ответы в ЧАВО о том,
+<a href="faq#contact">как связаться с командой безопасности</a>,
+и том, <a href="faq#discover">как сообщить об уязвимостях</a>.)
+
+<p>Большая часть ПО, являющегося частью операционной системы Debian,
+не была написана специально для Debian. Операционная система Debian
+в целом так же служит основой для других дистрибутивов GNU/Linux.
+Это означает, что большинство уязвимостей, касающихся Debian,
+так же касается и других дистрибутивов, а во многих случаях и коммерческих
+поставщиков ПО. Как следствие раскрытие уязвимостей должно
+координироваться с другими участниками, а не просто тем, кто сообщает
+об уязвимости, и самим Проектом Debian.</p>
+
+<p>Одним из мест для такой координации является
+<a href="https://oss-security.openwall.org/wiki/mailing-lists/distros";>список
+рассылки для дистрибутивов</a>. Команда безопасности Debian ожидает, что опытные
+исследователи безопасности будут связываться с дистрибутивами через этот список
+рассылки и напрямую с подверженными уязвимостям проектами ПО. Команда безопасности
+Debian предоставит помощь другим пользователям, сообщающим об уязвимостях, если
+это потребуется. До подключения к взаимодействию третьих сторон будет
+получено разрешение от пользователей, сообщающих об уязвимостях.</p>
+
+<h2>Информация о сроках</h2>
+
+<p>Как указано в начале настоящего документа, сообщение о подтверждении изначального
+сообщения об уязвимости следует ожидать не более, чем через несколько дней.</p>
+
+<p>Поскольку разрешение большинства уязвимостей в ПО из состава Debian требует
+координации между несколькими сторонами (разработчики основной ветки разработки, другие
+дистрибутивы), время между изначальным сообщением об уязвимости и его раскрытием
+может сильно варьироваться в зависимости от участвующих в этом процессе организаций
+и ПО.</p>
+
+<p>Список рассылки дистрибутивов ограничивает период эмбарго (время между изначальным
+сообщением и его раскрытием) двумя неделями. Тем не менее более длительным периоды
+не являются чем-то необычным, однако раскрытие предполагает координацию через список
+рассылки дистрибутивов с той целью, чтобы подстроиться под ежемесячный или ежеквартальный
+график выпуска ПО поставщиками. Разрешение уязвимостей в Internet-протоколах может
+потребовать большего времени, также большее время требуется на разработку способов
+снижения рисков от уязвимостей в оборудовании с помощью изменения ПО.</p>
+
+<h2>Избегание эмбарго</h2>
+
+<p>Поскольку координация в частном порядке зачастую приводит к большому числу
+конфликтов и затрудняет участие экспертов по конкретным вопросам, Debian
+рекомендует раскрытие информации об уязвимостях даже до разработки
+исправления, за исключением тех случае, когда такой подход может явно
+навредить пользователям Debian и другим сторонам.</p>
+
+<p>Команда безопасности Debian часто просит пользователей, сообщающих об
+уязвимостях, отправлять открытые сообщения об ошибках в соответствующую систему
+отслеживания ошибок (такую как <a href="../Bugs/">система отслеживания
+ошибок Debian</a>) и в случае необходимости предоставляет помощь.</p>
+
+<p>Для назначения идентификатора CVE или указания того, кто обнаружил ошибку,
+соблюдать эмбарго не требуется.</p>
+
+<h2>Назначение идентификатора CVE</h2>
+
+<p>Debian, будучи младшим уполномоченным органом CVE (sub-CNA), назначает идентификаторы
+CVE лишь для уязвимостей Debian. Если уязвимость, о которой было сообщено, не удовлетворяет
+данному критерию и выходит за пределы сферы действия Debian CNA, то команда безопасности
+Debian либо примет меры для назначения идентификатора CVE от другой CNA, либо поможет пользователю,
+сообщившему об уязвимости, подать собственный запрос для назначения идентификатора CVE.</p>
+
+<p>Назначение идентификатора CVE через Debian CNA будет раскрыто одновременно с
+публикацией рекомендации по безопасности Debian или с открытием сообщения
+об ошибке в соответствующей системе отслеживания ошибок.</p>
+
+<h2>Уязвимости и обычные ошибки</h2>
+
+<p>Из-за того, что в Debian присутствует широкий спектр различного ПО,
+нельзя предоставить какие-либо методологические рекомендации по поводу
+определения того, что является уязвимостью, а что является обычной
+ошибкой ПО. Если вы сомневаетесь в том, с чем вы столкнулись, то
+свяжитесь по этому поводу с командной безопасности Debian.</p>
+
+<h2>Программа поощрений за обнаружение ошибок</h2>
+
+<p>Debian не предлагает какую-либо программу поощрений за обнаружение ошибок.
+Независимые стороны могут стимулировать пользователей связываться с ними по
+поводу уязвимостей в операционной системе Debian, но они не подтверждены
+Проектом Debian.</p>
+
+<h2>Уязвимости инфраструктуры Debian</h2>
+
+<p>Сообщения об уязвимостях в инфраструктуре Debian обрабатываются точно
+так же. Если уязвимость в инфраструктуре не является результатом неправильной
+настройки, а уязвимостью в используемом ПО, то требуется обычная
+координация нескольких сторон по описанным выше процедурам и с тем же
+распределением по времени.</p>
-----BEGIN PGP SIGNATURE-----
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=gEjf
-----END PGP SIGNATURE-----
Reply to: