Замечание: Оригинал этого документа новее, чем перевод.
Совместимость Debian и CVEРазработчики Debian осознают необходимость предоставлять аккуратную и своевременную информацию о безопасности дистрибутива Debian, позволяя пользователям снизить риск, связанный с обнаружением новых уязвимостей. Проект Common Vulnerabilities and Exposures (CVE) даёт нам возможность предоставлять стандартизованные ссылки на проблемы, связанные с безопасностью, позволяющие пользователям разрабатывать собственные процедуры обеспечения безопасности с поддержкой CVE. CVE предоставляет список стандартизованных идентификаторов уязвимых мест и проблем, связанных с безопасностью.
Проект Debian полагает, что предоставление пользователям дополнительной информации, связанной с вопросами безопасности, затрагивающими дистрибутив Debian, крайне важно. Включение идентификаторов CVS в тексты наших предложений помогает пользователям сопоставлять общие уязвимости с конкретными обновлениями Debian, что уменьшает время, необходимое для исправления ошибок, касающихся наших пользователей.
Наличие единообразных ссылок на проблемы, связанные с безопасность, облегчает также обеспечение безопасности в среде, где задействованы инструменты с поддержкой CVE, такие как системы обнаружения вторжения в сеть или на хост или инструменты оценки уязвимости, независимо от того, основаны они или нет на дистрибутиве Debian.
Проект Debian добавил идентификаторы CVE во все предложения по безопасности (DSA), выпущенные с сентября 1998, в ходе процесса ревизии, начатого в августе 2002. Все предложения могут быть загружены с web-сайта Debian, а анонсы, связанные с новыми уязвимостями, включают идентификаторы CVE уже в момент выпуска, если только они к этому времени доступны. Предложения, связанные с заданным идентификатором CVE, могут быть найдены непосредственно с помощью поисковой машины.
Пользователи, желающие найти конкретный идентификатор CVE, могут использовать машину web-поиска на debian.org, чтобы получить предложения по безопасности (на английском и переведённые на другие языки), связанные с идентификаторами CVE. Поиск может производиться по полному идентификатору (например, advisory CAN-2002-0001) или по его части (например, все кандидаты 2002 года, описанные в наших предложениях: advisory CAN-2002). Заметьте, что вы должны включить в запрос, помимо идентификатора CVE, слово advisory (предложение), чтобы получить только предложения по безопасности.
Кроме того, Debian предоставляет полную таблицу перекрёстных ссылок, включая все ссылки для всех предложений, начиная с 1997 года. Эта таблица должна дополнять карту ссылок на CVE.
Вопрос: Каков текущий статус Debian в процессе CVE?
Предложения Debian по безопасности (Debian Security Advisories) объявлены совместимыми с CVE (CVE-Compatible) 24 февраля 2004. Более подробная информация доступна на сайте CVE, в том числе опросник по возможностям.
Вопрос: Почему я не могу найти необходимый идентификатор CVE?
Поиск заданного идентификатора CVE в опубликованных предложениях может завершиться неудачей по одной из следующих причин:
Вопрос: Каковы отличия между статьёй и кандидатом CVE?
(с сайта CVE)
Кандидаты CVE — это уязвимые места, вопрос о включении которых в CVE ещё не решён. Кандидатам присваиваются специальные идентификаторы, отделяющие их от официальных статей CVE.
Кандидатам присваиваются специальные номера, отделяющие их от статей CVE. Тем не менее, эти номера, при преобразовании кандидата в статью сохраняются. Например, если номер кандидата CAN-1999-0067, то номером соответствующей статьи будет CVE-1999-0067. В то же время присвоение номера кандидату не гарантирует, что он станет официальной статьёй CVE.
В базе опубликованных предложений периодически производится проверка, какие кандидаты стали официальными статьями.
Более подробную информацию см. в CVE Candidates explained.
Вопрос: Где я могу найти более подробную информацию?
Более подробную информацию можно найти на web-сайте CVE.
