Arch Security Team (Português)

From ArchWiki
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Status de tradução: Esse artigo é uma tradução de Arch Security Team. Data da última tradução: 2020-03-26. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

A Equipe de Segurança do Arch é um grupo de voluntários cujo objetivo é rastrear problemas de segurança com pacotes do Arch Linux. Todos os problemas são rastreados no rastreador de segurança do Arch Linux. A equipe era conhecida como Arch CVE Monitoring Team (em português, Equipe de Monitoramento do Arch CVE).

Missão

A missão da Equipe de Segurança do Arch de é contribuir para a melhoria da segurança do Arch Linux.

O dever mais importante da equipe é encontrar e rastrear os problemas atribuídos a Vulnerabilidades e Exposições Comuns (CVE). Um CVE é público, é identificado por um ID único do formulário CVE-AAAA-número.

Eles publicam ASAs (Arch Linux Security Advisory, que significa "Comunicado de Segurança do Arch Linux"), que é um aviso específico do Arch disseminado para os usuários do Arch. Os ASAs estão programados no rastreador para revisão por pares e precisam de duas confirmações dos membros da equipe antes de serem publicados.

O rastreador de segurança do Arch Linux é uma plataforma usada pela Equipe de Segurança do Arch para rastrear pacotes, adicionar CVEs e gerar texto de comunicados.

Nota:
  • Um Arch Linux Vulnerability Group (AVG) é um grupo de CVEs relacionados a um conjunto de pacotes dentro do mesmo pkgbase.
  • Pacotes qualificados para um comunicado devem ser parte do repositório core, extra, community ou multilib.

Contribuir

Para se envolver na identificação das vulnerabilidades, é recomendado:

  • Seguir o canal IRC #archlinux-security. É o principal meio de comunicação para relatar e discutir CVEs, pacotes afetados e a primeira versão corrigida do pacote.
  • Para ser avisado antecipadamente sobre novos problemas, pode-se monitorar as #Listas de discussão recomendadas para novos CVEs, junto com outras fontes, se necessário.
  • Encorajamos os voluntários a examinar os avisos por erros, perguntas ou comentários e relatar no canal do IRC.
  • Inscrever-se nas listas de discussão arch-security e oss-security.
  • Fazer commit de código para o projeto arch-security-tracker (GitHub) é uma ótima forma de contribuir para a equipe.
  • As distribuições derivadas que dependem dos repositórios de pacotes do Arch Linux são incentivadas a contribuir. Isso ajuda a segurança de todos os usuários.

Procedimento

O procedimento a seguir sempre que uma vulnerabilidade de segurança foi encontrada em um software empacotado nos repositórios oficiais do Arch Linux é o seguinte:

Fase de investigação e compartilhamento de informações

  • Entre em contato com um membro da Equipe de Segurança do Arch por meio de seu canal preferido para garantir que o problema foi levado ao conhecimento da equipe.
  • Para substanciar a via mecanismos de pesquisa. Se você precisar de ajuda para investigar o problema de segurança, peça orientação ou suporte no canal do IRC.

Situação do upstream e relatório de erros

Duas situações podem acontecer:

  • Se o upstream liberar uma nova versão que corrige o problema, o membro da equipe de segurança deve sinalizar o pacote desatualizado.
    • Se o pacote não foi atualizado após um longo período, um relatório de erro deve ser arquivado sobre a vulnerabilidade.
    • Se este for um problema de segurança crítico, um relatório de erro deve ser preenchido imediatamente após sinalizar o pacote como desatualizado.
  • Se não houver nenhum release upstream disponível, um relatório de erro deve ser preenchido, incluindo os patches para mitigação. As seguintes informações devem ser fornecidas no relatório de erros:
    • Descrição sobre o problema de segurança e seu impacto
    • Links para os CVE-IDs e (upstream) relatório
    • Se nenhum lançamento estiver disponível, links para patches do upstream (ou anexos) que mitigam o problema

Rastreamento e publicação

As seguintes tarefas devem ser executadas pelos membros da equipe:

  • Um membro da equipe criará um comunicado no rastreador de segurança e adicionará os CVEs para rastreamento.
  • Um membro da equipe com acesso a arch-security gerará um ASA do rastreador e o publicará.
Nota: Se você tiver um erro privado para relatar, entre em contato com security@archlinux.org. Por favor, note que o endereço para relatórios de erros privados é security, não arch-security. Um erro privado é aquele que é muito sensível para publicar, onde qualquer pessoa pode ler e explorar, por exemplo vulnerabilidades na infraestrutura do Arch Linux.

Recursos

RSS

National Vulnerability Database (NVD)
Todas as vulnerabilidades de CVE: https://nvd.nist.gov/download/nvd-rss.xml
Todas as vulnerabilidades de CVE totalmente analisas: https://nvd.nist.gov/download/nvd-rss-analyzed.xml

Listas de discussão

oss-sec
Lista principal que trata da segurança do software livre; muitas atribuições CVE acontecem aqui, necessárias se você deseja seguir as notícias de segurança.
Info: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
Inscrição: oss-security-subscribe(at)lists.openwall.com
Arquivo: https://www.openwall.com/lists/oss-security/
BugTraq
Uma lista de discussão de full-disclosure* (muitas mensagens).
Info: https://www.securityfocus.com/archive/1/description
Inscrição: bugtraq-subscribe(at)securityfocus.com
Full Disclosure
Outra lista de discussão de full-disclosure* (muitas mensagens).
Info: https://nmap.org/mailman/listinfo/fulldisclosure
Inscrição: full-disclosure-request(at)seclists.org

Considere também seguir as listas de discussão para pacotes específicos, como LibreOffice, X.org, Puppetlabs, ISC, etc.

  1. full-disclosure, que pode ser traduzido para "divulgação responsável" ou literalmente "revelação total", é a prática de publicação de aálise de vulnerabilidades de software o mais cedo possível, tornando-a acessível para ciência das pessoas e facilitando sua correção.

Outras distribuições

Recursos de outras distribuições (para procurar por CVE, patch, comentários etc.):

RedHat e Fedora
Feed de comunicados: https://bodhi.fedoraproject.org/rss/updates/?type=security
Rastreador de CVE: https://access.redhat.com/security/cve/<CVE-ID>
Rastreador de erros: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
Ubuntu
Feed de comunicados: https://usn.ubuntu.com/usn/atom.xml
Rastreador de CVE: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
Banco de dados: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
Debian
Rastreador de CVE: https://security-tracker.debian.org/tracker/<CVE-ID>/
Rastreador de Patch: https://tracker.debian.org/pkg/patch
Banco de dados: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
OpenSUSE
Rastreador de CVE: https://www.suse.com/security/cve/<CVE-ID>/

Outros

Links de Mitre e NVD para CVEs
https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

O NVD e o Mitre não preenchem necessariamente sua entrada no CVE imediatamente após a atribuição, portanto, isso nem sempre é relevante para o Arch. Os campos CVE-ID e "Data Entry Created" não têm significado particular. CVE são atribuídos pelas Autoridades de Numeração CVE (CNA) e cada CNA obtém blocos CVE de Mitre quando necessário/solicitado, portanto, o ID CVE não está vinculado à data de atribuição. O campo "Date Entry Created" geralmente indica apenas quando o bloco CVE foi dado ao CNA, nada mais.

Linux Weekly News
LWN fornece uma divulgação diária de atualizações de segurança para várias distribuições.
https://lwn.net/headlines/newrss

Mais

Para mais recursos, veja o Open Source Software Security Wiki do OpenWall.

Membros da equipe

Veja Arch Security Team para a relação dos atuais membros da Equipe de Segurança do Arch.