Gentoo Logo

Suggerimenti per la ricerca e l'identificazione di bug di sicurezza

1.  Ricerca dei Bug

Tutti i bug di Sicurezza

Per identificare tutti i bug inerenti alla sicurezza, utilizzare la pagina di ricerca di bugzilla, ed impostare i seguenti campi:

  • Product: selezionare "Vulnerabilities"
  • Status: impostare questo campo con il tipo di bug che si sta cercando (es.: bug chiusi, bug aperti, etc.)

Questo vi darà una lista di tutti i bug aperti nel nostro sistema (o almeno quelli correttamente assegnati). È possibile impostare la query in modo da visualizzare solamente le Vulnerabilità ("Vulnerabilities"), problemi del Kernel ("Kernel issues"), o altri sottoinsiemi dei bug di Sicurezza, impostando la voce Component.

Contrassegnare come "stable" i bug per una determinata architettura

Quando ad un pacchetto è stata applicata una patch, solitamente questi deve essere testato prima di venir contrassegnato come stabile per le architetture interessate. Per identificare tutti i bug dove una architettura necessita di contrassegnare un pacchetto come stable, utilizzare la pagina di ricerca e compilare i seguenti campi:

  • Product: selezionare "Gentoo Security"
  • Status: impostarlo a "New", "Assigned" o "Reopened" (in pratica: non cercare i bug che sono già stati chiusi)
  • Email and Numbering: Uno qualunque dei campi "CC list member" dovrebbe essere impostato a: "contains <arch>@gentoo.org"

Quando un pacchetto viene patchato e richiede di essere testato, il Security Team metterà in CC gli staff di tutte le principali architetture relative a quel particolare bug e richiederà loro che testino e contrassegnino il pacchetto come stabile per l'architettura di loro competenza. Quindi, usando il metodo di ricerca descritto precedentemente, sarà possibile vedere facilmente quali bug richiedono attenzione per una particolare architettura.

Importante: Per rendere questo rapporto efficace, è molto importante che i team delle varie architetture si ricordino di rimuoversi dalla lista di cc una volta che il pacchetto è stato resto stabile.

Nota: Per architetture non supportate, i bug possono essere chiusi senza che il pacchetto venga segnato come stabile per quella particolare architettura. Quindi, gli sviluppatori per queste architetture possono voler includere i bug chiusi nelle loro interrogazioni (per meglio comprendere la differenza fra "supportato" e "non supportato", si rimanda alla Politica sul trattamento delle Vulnerabilità,

I Referenti per la Sicurezza dell'Architettura avranno bisogno di ulteriori interrogazioni per individuare i bug che richiedono la loro partecipazione. Tali bug potrebbero essere per esempio classificati come SEMI-PUBLIC i quali richiedono di essere marcati come stabili nell'albero di Portage, oppure classificati come CONFIDENTIAL, i quali hanno una fase di test precedente alla stabilizzazione solamente in Bugzilla. Per ottenere una lista di questi bug, usare la pagina di ricerca ed impostare i campi seguenti:

  • Product: selezionare "Gentoo Security"
  • Status: impostarlo a "New", "Assigned" e "Reopened" (in pratica: non cercare i bug che sono già stati chiusi)
  • Email and Numbering: Uno qualunque dei campi "CC list member" dovrebbe essere impostato a "contains <login>@gentoo.org" dove <login> è il nome utente Gentoo del Referente.
  • Advanced Searching Using Boolean Charts: "Group" dovrebbe essere impostato a "is equal to" e il campo di input dovrebbe essere valorizzato a "Security"

Interrogazioni su Bugzilla che potrebbero tornare utili

I membri del Team di Sicurezza di Gentoo e i Padawan troveranno molto utili le seguenti query. Escludendo i falsi positivi, i bug elencati in queste interrogazioni richiedono l'attenzione del Team di Sicurezza.

  • Stabilizzazione caduta in prescrizione, visualizza tutti i bug aperti che hanno "[stable]" nel campo Whiteboard, ma nessuna architettura in CC.
  • Voto GLSA, elenco di bug che sono stati corretti nell'albero di Portage, ma non hanno ancora una decisione GLSA.
  • Bug non gestiti, bug che sono in uno stato Whiteboard non conosciuto.
  • Nessun CVE, bug che non includono nessun identificatore CVE nel proprio titolo.


Stampa

Aggiornato il 14 aprile 2009

Oggetto: Questo documento fornisce le linee guida ed i suggerimenti per migliorare l'identificazione dei bug inerenti alla sicurezza in bugzilla

Kurt Lieber
Autore

Robert Buchholz
Autore

Dungeon01
Traduzione

Davide Cendron
Traduzione

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.