Arch 安全团队
Arch 安全团队是由一群志愿者组成的团队,其目标是跟踪 Arch Linux 软件包的安全问题。所有问题都在 Arch Linux 安全跟踪器 上进行跟踪。该团队以前被称为 Arch CVE 监控团队。
使命
Arch 安全团队的使命是为改进 Arch Linux 的安全性做出贡献。
团队最重要的职责是查找和跟踪被分配了 通用漏洞披露 (CVE) 的问题。CVE 是公开的,它由 CVE-YYYY-编号 形式的唯一 ID 标识。
他们发布 ASA(Arch Linux 安全公告),这是一种针对 Arch 用户的特定警告。ASA 在跟踪器中安排同行评审,并且在发布之前需要团队成员的两次确认。
Arch Linux 安全跟踪器 是 Arch 安全团队用来跟踪软件包、添加 CVE 和生成公告文本的平台。
注意
- Arch Linux 漏洞组 (AVG) 是与同一 pkgbase 中的一组软件包相关的一组 CVE。
- 有资格获得公告的软件包必须是 core、extra 或 multilib 仓库的一部分。
贡献
要参与漏洞的识别,建议
- 关注 #archlinux-security IRC 频道。它是报告和讨论 CVE、受影响的软件包和第一个修复的软件包版本的主要沟通媒介。
- 为了尽早收到关于新问题的警告,可以监控推荐的 #邮件列表 以获取新的 CVE,以及其他必要的来源。
- 我们鼓励志愿者查看公告中的错误、问题或意见,并在 IRC 频道中报告。
- 订阅邮件列表 arch-security 和 oss-security。
- 向 arch-security-tracker (GitHub) 项目提交代码是为团队做出贡献的好方法。
- 依赖于 Arch Linux 软件包仓库的衍生发行版也被鼓励做出贡献。这有助于所有用户的安全。
流程
每当在 Arch Linux 官方仓库中打包的软件中发现安全漏洞时,应遵循以下流程
信息共享与调查阶段
- 通过您喜欢的渠道联系 Arch 安全团队成员,以确保该问题已引起团队的注意。
- 为了证实漏洞,请对照当前软件包版本(包括可能的补丁)验证 CVE 报告,并尽可能多地收集有关该问题的信息,包括通过搜索引擎。如果您需要帮助调查安全问题,请在 IRC 频道上寻求建议或支持。
上游情况与错误报告
可能会出现两种情况
- 如果上游发布了修复该问题的新版本,则安全团队成员应将软件包标记为过时。
- 如果软件包在长时间延迟后仍未更新,则应提交关于该漏洞的错误报告。
- 如果这是一个严重的安全问题,则必须在将软件包标记为过时后立即提交错误报告。
- 如果没有可用的上游版本,则必须提交包含缓解补丁的错误报告。错误报告中必须提供以下信息
- 关于安全问题及其影响的描述
- 指向 CVE-ID 和(上游)报告的链接
- 如果没有可用版本,则指向缓解该问题的上游补丁(或附件)的链接
跟踪与发布
以下任务必须由团队成员执行
- 团队成员将在 安全跟踪器 上创建公告,并添加 CVE 以进行跟踪。
- 有权访问 arch-security 的团队成员将从跟踪器生成 ASA 并发布它。
注意: 如果您有私有错误要报告,请联系 security@archlinux.org。[1] 请注意,私有错误报告的地址是 security,而不是 arch-security。私有错误是指过于敏感而无法发布到任何人都可以阅读和利用的地方的错误,例如 Arch Linux 基础设施中的漏洞。
资源
RSS
- 国家漏洞数据库 (NVD)
- 所有 CVE 漏洞: https://nvd.nist.gov/download/nvd-rss.xml
- 所有完全分析的 CVE 漏洞: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
邮件列表
- oss-sec
- 处理自由软件安全性的主要列表,许多 CVE 归属发生在此处,如果您希望关注安全新闻,则需要此列表。
- 信息: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
- 订阅: oss-security-subscribe(at)lists.openwall.com
- 存档: https://www.openwall.com/lists/oss-security/
- 完全披露
- 另一个完全披露邮件列表(嘈杂)。
- 信息: https://nmap.org/mailman/listinfo/fulldisclosure
- 订阅: full-disclosure-request(at)seclists.org
还可以考虑关注特定软件包的邮件列表,例如 LibreOffice、X.org、Puppetlabs、ISC 等。
其他发行版
其他发行版的资源(用于查找 CVE、补丁、评论等)
- Red Hat 和 Fedora
- 公告订阅源: https://bodhi.fedoraproject.org/rss/updates/?type=security
- CVE 跟踪器: https://access.redhat.com/security/cve/<CVE-ID>
- 错误跟踪器: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
- Ubuntu
- 公告订阅源: https://usn.ubuntu.com/usn/atom.xml
- CVE 跟踪器: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
- 数据库: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
- Debian
- CVE 跟踪器: https://security-tracker.debian.org/tracker/<CVE-ID>/
- 补丁跟踪器: https://tracker.debian.org/pkg/patch
- 数据库: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
- OpenSUSE
- CVE 跟踪器: https://www.suse.com/security/cve/<CVE-ID>/
其他
- Mitre 和 NVD 的 CVE 链接
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
NVD 和 Mitre 不一定会在归属后立即填写其 CVE 条目,因此它并不总是与 Arch 相关。CVE-ID 和“日期条目创建”字段没有特定含义。CVE 由 CVE 编号授权机构 (CNA) 归属,每个 CNA 在需要/请求时从 Mitre 获取 CVE 块,因此 CVE ID 与归属日期无关。“日期条目创建”字段通常仅指示何时将 CVE 块提供给 CNA,仅此而已。
- Linux 每周新闻
- LWN 提供各种发行版的每日安全更新通知。
- https://lwn.net/headlines/newrss
更多
有关更多资源,请参阅 OpenWall 的 开源软件安全 Wiki。
团队成员
Arch 安全团队的当前成员是