Arch 安全團隊
Arch 安全團隊是一組志願者,其目標是使用Arch Linux軟件包跟蹤安全問題。所有問題都在 Arch Linux security tracker上進行跟蹤。該團隊以前稱為 Arch CVE Monitoring Team.
任務[編輯 | 編輯原始碼]
Arch 安全團隊的任務是為提高 Arch Linux 的安全性做出貢獻。
團隊最重要的職責是查找和跟蹤分配了常見漏洞和披露(CVE)的問題。CVE 是公共的,由 CVE-YYYY-number 形式的唯一 ID 標識。
他們發佈了 ASA(Arch Linux Security Advisory),這是向 Arch 用戶分發的特定於 Arch 的警告。ASA 已在跟蹤器中安排進行同行評審,並且在發佈之前需要團隊成員的兩次確認。
在 Arch Linux security tracker 使用的是安全團隊跟蹤包,增加的 CVE 和生成文本諮詢的平台。
- 一個 Arch Linux Vulnerability Group (AVG) 是一組涉及相同內的一組包的 CVE 的 pkgbase。
- 符合諮詢條件的軟件包必須是 core,extra,community 或 multilib 存儲庫的一部分。
貢獻[編輯 | 編輯原始碼]
為了參與漏洞的識別,建議:
- 遵循 #archlinux-security IRC 頻道。它是報告和討論 CVE,受影響的軟件包以及第一個固定軟件包版本的主要溝通媒介。
- 為了及早收到有關新問題的警告,可以監視建議的 #郵件列表 以獲取新的 CVE,並根據需要監視其他來源。
- 我們鼓勵志願者查看諮詢中的錯誤,問題或評論,並在 IRC 頻道中進行報告。
- 訂閱郵件列表 arch-security 和 oss-security。
- 將代碼提交給 arch-security-tracker (GitHub) 項目是為團隊做出貢獻的好方法。
- 鼓勵依賴 Arch Linux 軟件包系統信息庫的派生發行版做出貢獻。這有助於所有用戶的安全。
程序[編輯 | 編輯原始碼]
在 Arch Linux 官方存儲庫中的軟件包中發現安全漏洞時,應遵循以下步驟:
信息共享和調查階段[編輯 | 編輯原始碼]
- 通過您首選的渠道與 Arch 安全團隊成員接觸,以確保該問題已引起團隊注意。
- 為了證實該漏洞,請針對當前程序包版本(包括可能的補丁程序)驗證 CVE 報告,並通過搜尋引擎收集有關此問題的儘可能多的信息。如果您需要幫助調查安全問題,請在 IRC 頻道上尋求建議或支持。
上游情況和錯誤報告[編輯 | 編輯原始碼]
可能出現兩種情況:
- 如果上游發佈了可解決此問題的新版本,則安全團隊成員應將該軟件包標記為過期。
- 如果經過長時間的延遲仍未更新軟件包,則應提交有關該漏洞的錯誤報告。
- 如果這是一個關鍵的安全問題,則必須在將軟件包標記為過期後立即提交錯誤報告。
- 如果沒有上游發行,則必須提交錯誤報告,其中包括用於緩解問題的補丁。錯誤報告中必須提供以下信息:
- 有關安全問題及其影響的描述
- 連結到 CVE-ID 和(上游)報告
- 如果沒有可用的版本,請連結到可緩解此問題的上游修補程序(或附件)
跟蹤和發佈[編輯 | 編輯原始碼]
團隊成員必須執行以下任務:
- 團隊成員將在 security tracker 上創建建議,並添加 CVE 進行跟蹤。
- 具有訪問 arch-security 權限的團隊成員將從跟蹤器生成 ASA 並將其發佈。
資源[編輯 | 編輯原始碼]
RSS[編輯 | 編輯原始碼]
- National Vulnerability Database (NVD)
- 所有 CVE 漏洞:https://nvd.nist.gov/download/nvd-rss.xml
- 所有經過全面分析的 CVE 漏洞:https://nvd.nist.gov/download/nvd-rss-analyzed.xml
郵件列表[編輯 | 編輯原始碼]
- oss-sec:有關自由軟件安全性的主要列表,如果您想了解安全新聞,則此處會包含很多 CVE 屬性。
- 信息:https://oss-security.openwall.org/wiki/mailing-lists/oss-security
- 訂閱:oss-security-subscribe(at)lists.openwall.com
- 存檔:https://www.openwall.com/lists/oss-security/
- 完整的披露審核郵件列表(雜亂)。
- 信息:https://www.securityfocus.com/archive/1/description
- 訂閱:bugtraq-subscribe(at)securityfocus.com
- Full Disclosure:另一個全披露的郵件列表(雜亂)。
- 信息:https://nmap.org/mailman/listinfo/fulldisclosure
- 訂閱:full-disclosure-request(at)seclists.org
還可以考慮遵循特定軟件包的郵件列表,例如 LibreOffice, X.org, Puppetlabs, ISC等。
其他發行版[編輯 | 編輯原始碼]
其他發行版的資源(查找CVE,補丁,註釋等):
- Red Hat 和 Fedora
- 諮詢提要:https://bodhi.fedoraproject.org/rss/updates/?type=security
- CVE 跟蹤器:https://access.redhat.com/security/cve/<CVE-ID>
- 錯誤跟蹤器:https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
- Ubuntu
- 諮詢供稿:https://usn.ubuntu.com/usn/atom.xml
- CVE 跟蹤器:https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
- 數據庫:https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
- Debian
- CVE 跟蹤器:https://security-tracker.debian.org/tracker/<CVE-ID>/
- 補丁追蹤器:https://tracker.debian.org/pkg/patch
- 數據庫:https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
- OpenSUSE
- CVE 跟蹤器:https://www.suse.com/security/cve/<CVE-ID>/
其他[編輯 | 編輯原始碼]
- CVE 的 Mitre 和 NVD 連結
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
NVD 和 Mitre 不一定在歸屬後立即填寫其 CVE 條目,因此與 Arch 並不總相關。CVE-ID 和「創建日期條目」字段沒有特殊含義。CVE 由 CVE 編號頒發機構(CNA)歸屬,每個 CNA 在需要/提出要求時從 Mitre 獲取 CVE 塊,因此 CVE ID 未連結到歸屬日期。「創建日期條目」字段通常僅指示將 CVE 塊分配給 CNA 的時間,僅此而已。
- Linux Weekly News:LWN 每天為各種發行版提供安全更新通知。
- https://lwn.net/headlines/newrss
更多[編輯 | 編輯原始碼]
有關更多資源,請參見 OpenWall 的 開源軟件安全性 Wiki.
團隊成員[編輯 | 編輯原始碼]
Arch 安全團隊的當前成員是:
- Levente Polyak
- Remi Gacogne
- Christian Rebischke
- Jelle van der Waa
- Santiago Torres-Arias
- Jonathan Roemer
- Morten Linderud
!pingsec <msg>,以突出顯示當前所有安全團隊成員。