Arch 安全团队
Arch 安全团队是由一群志愿者组成的,其目标是追踪 Arch Linux 软件包的安全问题。所有问题都在 Arch Linux 安全追踪器 上进行追踪。该团队以前被称为“Arch CVE 监控团队”。
使命
Arch 安全团队的使命是为提高 Arch Linux 的安全性做出贡献。
该团队最重要的职责是发现和追踪被分配了 通用漏洞披露 (CVE) 的问题。CVE 是公开的,它由一个形式为 CVE-YYYY-number 的唯一 ID 标识。
他们发布 ASA (Arch Linux 安全公告),这是分发给 Arch 用户的 Arch 特有警告。ASA 在追踪器中安排同行评审,并在发布前需要团队成员的两项确认。
Arch Linux 安全追踪器 是 Arch 安全团队用来追踪软件包、添加 CVE 和生成公告文本的平台。
- Arch Linux 漏洞组 (AVG) 是指与同一 pkgbase 内的一组软件包相关的 CVE 集合。
- 有资格发布公告的软件包必须属于 core、extra 或 multilib 仓库。
贡献
要参与漏洞的识别,建议
- 关注 #archlinux-security IRC 频道。这是报告和讨论 CVE、受影响的软件包以及首次修复的软件包版本的主要沟通媒介。
- 为了提前获知新问题,可以关注推荐的 #邮件列表 以获取新 CVE,以及其他所需来源。
- 我们鼓励志愿者检查公告中是否存在错误、疑问或评论,并在 IRC 频道中报告。
- 订阅邮件列表 arch-security 和 oss-security。
- 向 arch-security-tracker (GitHub) 项目提交代码是为团队做出贡献的绝佳方式。
- 鼓励依赖 Arch Linux 软件包仓库的衍生发行版做出贡献。这有助于所有用户的安全。
过程
当 Arch Linux 官方仓库中打包的软件发现安全漏洞时,应遵循以下流程:
信息共享与调查阶段
- 通过您偏好的渠道联系 Arch 安全团队成员,以确保团队已注意到该问题。
- 为了证实漏洞,请根据当前软件包版本(包括可能的补丁)核实 CVE 报告,并尽可能收集有关该问题的信息,包括通过搜索引擎。如果您需要帮助来调查安全问题,请在 IRC 频道上寻求建议或支持。
上游情况与漏洞报告
可能会出现两种情况:
- 如果上游发布了修复该问题的新版本,安全团队成员应将该软件包标记为过时。
- 如果软件包长时间未更新,则应就该漏洞提交错误报告。
- 如果这是一个严重的安全问题,则必须在标记软件包过时后立即提交错误报告。
- 如果没有可用的上游版本,则必须提交错误报告,其中包含缓解补丁。错误报告中必须提供以下信息:
- 关于安全问题及其影响的描述
- 指向 CVE ID 和(上游)报告的链接
- 如果没有可用的版本,则指向缓解该问题的上游补丁(或附件)的链接
追踪与发布
团队成员必须执行以下任务:
- 团队成员将在 安全追踪器 上创建一个公告,并添加 CVE 以供追踪。
- 拥有对 arch-security 访问权限的团队成员将从追踪器生成 ASA 并发布。
资源
RSS
- 国家漏洞数据库 (NVD)
- 所有 CVE 漏洞: https://nvd.nist.gov/download/nvd-rss.xml[死链 2025-08-15—HTTP 404]
- 所有已完全分析的 CVE 漏洞: https://nvd.nist.gov/download/nvd-rss-analyzed.xml[死链 2025-08-15—HTTP 404]
邮件列表
- oss-sec
- 主要处理免费软件安全问题的列表,许多 CVE 归属在此发生,如果您想关注安全新闻,则必须订阅。
- 信息: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
- 订阅: oss-security-subscribe(at)lists.openwall.com
- 存档: https://www.openwall.com/lists/oss-security/
- 全披露
- 另一个全披露邮件列表(信息量大)。
- 信息: https://nmap.org/mailman/listinfo/fulldisclosure
- 订阅: full-disclosure-request(at)seclists.org
另外,请考虑订阅特定软件包的邮件列表,例如 LibreOffice、X.org、Puppetlabs、ISC 等。
其他发行版
其他发行版的资源(用于查找 CVE、补丁、评论等)
- Red Hat 和 Fedora
- 公告源: https://bodhi.fedoraproject.org/rss/updates/?type=security
- CVE 追踪器:https://access.redhat.com/security/cve/<CVE-ID>
- Bug 追踪器:https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
- Ubuntu
- 公告源: https://usn.ubuntu.com/usn/atom.xml
- CVE 追踪器:https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
- 数据库: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
- Debian
- CVE 追踪器:https://security-tracker.debian.org/tracker/<CVE-ID>/
- 补丁追踪器: https://tracker.debian.org/pkg/patch
- 数据库: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
- OpenSUSE
- CVE 追踪器:https://www.suse.com/security/cve/<CVE-ID>/
其他
- Mitre 和 NVD 的 CVE 链接
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
Mitre 和 NVD 不一定在分配 CVE 后立即填写其 CVE 条目,因此它并不总是与 Arch 相关。CVE ID 和“Date Entry Created”(条目创建日期)字段没有特定含义。CVE 由 CVE 编号机构 (CNA) 分配,每个 CNA 根据需要/请求从 Mitre 获取 CVE 块,因此 CVE ID 与分配日期无关。“Date Entry Created”字段通常只表示何时将 CVE 块授予了 CNA,仅此而已。
- Linux Weekly News
- LWN 提供有关各种发行版安全更新的每日通知。
- https://lwn.net/headlines/newrss
更多
有关更多资源,请参阅 OpenWall 的 开源软件安全维基。
团队成员
Arch 安全团队的现任成员是: