[Security-team] security-team policy

[Dmitry V. Levin]

On Mon, Apr 27, 2009 at 11:16:22AM +0400, Vladimir Lettiev wrote:
[...]
> 4.1 Обнаружение.
> Основным источником информации о новых уязвимостях в ПО на данное
> время является база Common Vulnerabilities and Exposures
> (cve.mitre.org). Т.о. мониторинг изменений в базе CVE даёт информацию
> (пусть не на все 100%) о новых проблемах. Есть также официальный
> ресурс nvd.nist.gov, где изменения в CVE транслируются в виде
> RSS-ленты, что удобно для автоматического мониторинга.

CVE является базой данных, куда в конечном итоге стекается информация обо
всех зарегистрированных уязвимостях в ПО.  Однако рассматривать CVE в
качестве источника информации о _новых_ уязвимостях в ПО совершенно
нереально из-за латентности.

> Другие источники (возможно вторичные):

+ Важным публичным источником информации (как вторичной, так и первичной)
является oss-security на lists.openwall.com

+ Кроме того, ещё есть и непубличные источники первичной информации,
они же места, где договариваются о CRD.

> 6. Нужны открытые рассылки для команды и для анонсов (они есть), нужна
> закрытая конференция в jabber с записью истории, для быстрого
> коллективного обсуждения вопросов. Возможно кто-то может предоставлять
> сборочницу для какого-либо бранча и/или архитектуры x86/x86_64 для
> проверки сборки. Нужно сделать закрытый сайт, где собрать
> веб-интерфейс к базе, в которой будет вестись вся информация по
> уязвимостям и этапах их исправлений. Что-то на подобии багзиллы, но
> заточенное под описанный выше workflow.

А чего не хватает в багзилле?  Может быть, прикрутить к ней будет проще?


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/security-team/attachments/20090428/9567f585/attachment.bin>