Suggerimenti per la ricerca e l'identificazione di bug di sicurezza

1.  Ricerca dei Bug

Tutti i bug di Sicurezza

Per identificare tutti i bug inerenti alla sicurezza, utilizzare la pagina di ricerca di bugzilla, ed impostare i seguenti campi:

• Product: selezionare "Vulnerabilities"
• Status: impostare questo campo con il tipo di bug che si sta cercando (es.: bug chiusi, bug aperti, etc.)

Questo vi darà una lista di tutti i bug aperti nel nostro sistema (o almeno quelli correttamente assegnati). È possibile impostare la query in modo da visualizzare solamente le Vulnerabilità ("Vulnerabilities"), problemi del Kernel ("Kernel issues"), o altri sottoinsiemi dei bug di Sicurezza, impostando la voce Component.

Contrassegnare come "stable" i bug per una determinata architettura

Quando ad un pacchetto è stata applicata una patch, solitamente questi deve essere testato prima di venir contrassegnato come stabile per le architetture interessate. Per identificare tutti i bug dove una architettura necessita di contrassegnare un pacchetto come stable, utilizzare la pagina di ricerca e compilare i seguenti campi:

• Product: selezionare "Gentoo Security"
• Status: impostarlo a "New", "Assigned" o "Reopened" (in pratica: non cercare i bug che sono già stati chiusi)
• Email and Numbering: Uno qualunque dei campi "CC list member" dovrebbe essere impostato a: "contains <arch>@gentoo.org"

Quando un pacchetto viene patchato e richiede di essere testato, il Security Team metterà in CC gli staff di tutte le principali architetture relative a quel particolare bug e richiederà loro che testino e contrassegnino il pacchetto come stabile per l'architettura di loro competenza. Quindi, usando il metodo di ricerca descritto precedentemente, sarà possibile vedere facilmente quali bug richiedono attenzione per una particolare architettura.

I Referenti per la Sicurezza dell'Architettura avranno bisogno di ulteriori interrogazioni per individuare i bug che richiedono la loro partecipazione. Tali bug potrebbero essere per esempio classificati come SEMI-PUBLIC i quali richiedono di essere marcati come stabili nell'albero di Portage, oppure classificati come CONFIDENTIAL, i quali hanno una fase di test precedente alla stabilizzazione solamente in Bugzilla. Per ottenere una lista di questi bug, usare la pagina di ricerca ed impostare i campi seguenti:

• Product: selezionare "Gentoo Security"
• Status: impostarlo a "New", "Assigned" e "Reopened" (in pratica: non cercare i bug che sono già stati chiusi)
• Email and Numbering: Uno qualunque dei campi "CC list member" dovrebbe essere impostato a "contains <login>@gentoo.org" dove <login> è il nome utente Gentoo del Referente.
• Advanced Searching Using Boolean Charts: "Group" dovrebbe essere impostato a "is equal to" e il campo di input dovrebbe essere valorizzato a "Security"

Interrogazioni su Bugzilla che potrebbero tornare utili

I membri del Team di Sicurezza di Gentoo e i Padawan troveranno molto utili le seguenti query. Escludendo i falsi positivi, i bug elencati in queste interrogazioni richiedono l'attenzione del Team di Sicurezza.

• Stabilizzazione caduta in prescrizione, visualizza tutti i bug aperti che hanno "[stable]" nel campo Whiteboard, ma nessuna architettura in CC.
• Voto GLSA, elenco di bug che sono stati corretti nell'albero di Portage, ma non hanno ancora una decisione GLSA.
• Bug non gestiti, bug che sono in uno stato Whiteboard non conosciuto.
• Nessun CVE, bug che non includono nessun identificatore CVE nel proprio titolo.

I contenuti di questo documento sono rilasciati sotto la licenza Creative Commons - Attribution / Share Alike.