Se você é um(a) mantenedor(a) de um pacote que está contido no repositório do Debian, por favor considere examinar o código por si mesmo(a).
A disponibilidade de ferramentas de auditoria de código-fonte pode facilitar esse processo significativamente; mesmo que você não tenha tempo de fazer uma auditoria minuciosa você mesmo(a), você poderá encontrar áreas que são potencialmente problemáticas.
Se necessitar de auxílio, por favor contate ou o time de segurança do Debian , ou a lista (pública) de discussão debian-security para ajuda em como conduzir uma auditoria de código-fonte.
# considere juntar-se à lista de discussão #debian-audit e peça para um(a) voluntário(a) examinar seu #pacote.Mantenedores(as) que desejem revisar o código-fonte podem estar interessados(as) em ler o artigo (em inglês) da Debconf6 Erradicando bugs de segurança no Debian (Weeding out security bugs in Debian) (slides) ou as notas (em inglês) Uma curta e prática visão geral de como encontrar alguns erros comuns em programas escritos em várias linguagens (Short, practical overview on how to find a few common mistakes in programs written in various languages).
O artigo Erradicando bugs de segurança no Debian
foi apresentado na
Debconf6 no México e foi parte de um workshop. Para mantenedores(as) novos(as)
em auditoria,
os
exemplos de código e os vídeos
do workshop podem ser úteis.
Como parte de ser um(a) mantenedor(a) responsivo(a), você também deve ficar de olho nos novos lançamentos do(a) autor(a) do software do seu pacote. Se o arquivo de registro de alterações (changelog) menciona um problema de segurança, você deve tentar observar se você tem uma versão do código na versão estável (stable) que é vulnerável.
Se você tem uma versão vulnerável disponível na versão estável (stable), por favor contate o time de segurança - como descrito no FAQ do time de segurança.