From d4d727e7e6bd8387fe995621caf8fb7babe0660c Mon Sep 17 00:00:00 2001
From: "Paulo Henrique de Lima Santana (phls)" Esta página lista algumas das questões mais comuns que
+visitantes podem ter ao ouvir pela primeira vez sobre este projeto. O projeto de auditoria de segurança do Debian é um pequeno projeto conduzido
+dentro do projeto Debian, desenhado para ter uma atitude proativa frente
+à segurança pela realização de auditorias de código-fonte dos pacotes
+disponíveis aos(às) usuários(as) do Debian. A auditoria é focada na distribuição estável (stable) do Debian, com o
+trabalho de auditoria sendo orientado pelas diretrizes
+de priorização de pacotes. O primeiro aviso foi lançado em dezembro de 2002, seguido por uma
+série de avisos adicionais posteriormente. Ele continuou como uma função não oficial até ter sido concedido seu
+status Múltiplos avisos foram lançados como parte do trabalho de
+auditoria, e todos aqueles que foram lançados antes do projeto ter
+recebido seu status oficial estão listados na página
+de avisos de auditoria. Espera-se que em um futuro próximo, os avisos publicamente conhecidos do
+projeto possam ser encontrados ao se ler os relatórios
+de avisos de segurança do Debian e ao se procurar pelo Na verdade, não. Existem muitos problemas de segurança que o processo
+de auditoria descobriu que não são imediatamente exploráveis (eles podem,
+contudo, fazer com que o programa quebre). Outros problemas de segurança que
+podem ser explorados, e que nós descobrimos, não estavam presentes na versão
+estável (stable) oficial do Debian, mas estavam presentes na versão teste
+(testing) e instável (unstable).
+Todos foram relatados através do sistema de rastreamento de bugs do Debian
+(e em alguns casos, diretamente aos(às) autores(as)). Steve Kemp começou o projeto de auditoria de segurança do Debian, criando
+o processo inicial e testando-o ao encontrar muitas vulnerabilidades. Ulf Härnhammar juntou-se ao projeto durante este período não oficial inicial
+e encontrou diversas vulnerabilidades que foram logo corrigidas; Ulf foi
+logo seguido por Swaraj Bontula e Javier Fernández-Sanguino, que
+também encontraram muitos e significantes problemas de segurança. David A. Wheeler instigou Steve
+Kemp a se voluntariar para liderar o projeto como um projeto oficial do
+Debian, o que foi possível pelo envolvimento do líder do projeto Debian,
+Martin Michlmayr. O David também fez várias sugestões úteis sobre o conteúdo
+dessas páginas, diretamente contribuindo para várias seções. O time de segurança do
+Debian foi muito prestativo em fazer das auditorias um sucesso,
+garantindo que qualquer vulnerabilidade encontrada fosse rapidamente
+corrigida e distribuída para o mundo. As seguintes pessoas contribuíram com ao menos um aviso de segurança
+em nome do projeto: Mais contribuidores(as) são sempre bem-vindos(as)! Se você tem tempo e habilidades necessários para auditar um pacote, então
+simplesmente vá em frente e faça! A visão geral sobre auditoria deve te oferecer uma
+boa ideia de como realizar o trabalho — qualquer dúvida adicional que
+você possa ter pode ser perguntada (em inglês) na lista de discussão
+debian-security.oficial
em maio de 2004 pelo líder do projeto Debian, Martin
+Michlmayr.projeto de
+auditoria de segurança do Debian
.
O melhor é que você não nomeie os pacotes contendo problemas que você +descobriu antes de uma DSA ter sido +lançada. Já que isto permite que usuários(as) maliciosos(as) se aproveitem +de qualquer falha que você descrever antes delas serem corrigidas.
+ +Em vez disso, a lista de discussão pode ser usada para descrever uma +parte do código e para perguntar as opiniões se ele é explorável, e como +pode ser corrigido.
+ +Os(as) mantenedores(as) de pacotes podem ajudar garantindo a segurança +do software que eles(as) empacotam ao examinar o códigos eles(as) mesmos(as), +ou pedindo por ajuda.
+ +Por favor veja a síntese sobre auditoria para +mantenedores(as) de pacotes.
+ +Existe uma seção no FAQ do +time de segurança descrevendo o processo.
+ +Não, os pacotes que foram examinados e não tiveram problemas encontrados +dentro deles não são listados publicamente.
+ +Isto acontece, em parte, porque pode haver problemas escondidos +que passaram desapercebidos, e em parte porque as auditorias são conduzidas +sem um grau muito grande de coordenação por muitas pessoas.
+ +Atualmente não existe uma lista de discussão na qual você possa se inscrever +para fazer perguntas. Enquanto isso, por favor use a +lista de discussão +debian-security.
-- cgit v1.2.3