Consejos para buscar y filtrar agujeros de seguridad

1.  Buscando fallos (Bugs)

Todos los fallos de seguridad

Para identificar todos los fallos relacionados con la seguridad, utilice la página de consulta de Bugzilla y rellene los siguientes campos:

• Product: seleccione "Gentoo Security"
• Status: rellene con el tipo de fallo que quiera buscar (por ejemplo, fallos cerrados, fallos abiertos, etc.)

Ésto le dará una lista de todos los fallos en nuestro sistema (o al menos, los que estén correctamente asignados). Puede solicitar la consulta para que sólo muestre Vulnerabilidades, cuestiones del Núcleo u otros subconjuntos de fallos de Seguridad, ajustando el Componente

"Marca estable" los Agujeros de Seguridad de Arquitectura

Cuando a un paquete se le ha aplicado un parche de seguridad, éste, normalmente debe ser probado antes de ser marcado como estable en las arquitecturas afectadas. Para identificar todos los fallos de seguridad en los que arquitectura en particular necesita marcar un paquete como estable, use la página de consultas y rellene los siguientes campos:

• Produt: seleccione "Gentoo Security"
• Status: ajústelo a"New", "Assigned" y "Reopened" (es decir, no busque fallos que han sido cerrados)
• Email and Numbering: Cualquiera de: "CC list member" debería marcarse a "contains <arch>@gentoo.org"

Cuando un paquete es parcheado y requiere pruebas, el equipo de seguridad hará un CC a todas las arquitecturas relevantes de este fallo en concreto, y se pedirá que el paquete se pruebe y se marcará como estable en su arquitectura. Así, usando los criterios de búsqueda descritos arriba, será capaz de encontrar fácilmente qué fallos de seguridad requieren atención para una arquitectura en particular.

Los Architecture Security Liaisons (Enlaces de Seguridad de las Arquitecturas) necesitarán consultas adicionales para mostrar fallos que requieren su participación. Esos fallos podrían se por ejemplo, fallo calificados como SEMI-PUBLIC que necesitan marcarse como estables en el árbol, o fallos CONFIDENTIAL que tienen un testing pre-estable en Bugzilla únicamente. Para ver una lista de estos fallos, use la página de consultas y rellene los siguientes campos:

• Product: seleccione "Gentoo Security"
• Status: ajústelo a "New", "Assigned" y "Reopened" (es decir, no busque fallos que han sido cerrados)
• Email and Numbering: Cualquiera de: "CC list member" debería marcarse a "contains <login>@gentoo.org" donde <login> es el usuario de Gentoo username del Liaison
• Advanced Searching Using Boolean Charts: "Group" debe marcarse a "is equal to" y en el campo de entrada debería mostrarse "Security".

Consultas a Bugzilla que podrían ser de ayuda

Los miembros del Equipo de Seguridad de Gentoo y Padawans se pueden ayudar con éstas consultas. Aparte de los falsos positivos, los fallos listados en estas consultas necesitan la atención del Equipo de Seguridad.

• Estable pasado, muestra todos los fallos abiertos que tienen "[stable]" en el campo Whiteboard, pero no tiene arquitecturas en CC.
• Voto GLSA, lista todos los fallos que an sido corregidos en el árbol, pero no tiene una decisión del GLSA aún.
• Fallos no gestionados, fallos que no tienen un estado conocido en el Whiteboard.
• Sin CVE, fallos que no tienen identificador CVE en su título.

El contenido de este documento, a no ser que se especifique expresamente, está registrado bajo los términos de la licencia CC-BY-SA-2.5. Se aplican las Pautas de Utilización del logo y nombre de Gentoo.