Product SiteDocumentation Site

Chapitre 7. Infrastructure de sécurité Debian

7.1. L'équipe de sécurité Debian
7.2. Alertes de sécurité Debian
7.2.1. Références croisées des failles
7.2.2. Compatibilité CVE
7.3. Système de suivi en sécurité
7.4. Infrastructure de construction de sécurité Debian
7.4.1. Le guide du développeur pour les mises à jour de sécurité
7.5. La signature de paquet dans Debian
7.5.1. Le schéma actuel pour la vérification de paquet
7.5.2. apt sécurisé
7.5.3. Vérification par version de distribution
7.5.4. Vérification de distribution pour les sources non Debian
7.5.5. Schéma alternatif de signature par paquet

7.1. L'équipe de sécurité Debian

Debian possède une équipe de sécurité, qui assure la sécurité dans la distribution stable. Assurer la sécurité veut dire suivre les failles qui surviennent dans les logiciels (en surveillant des forums comme Bugtraq ou vuln-dev) et déterminer si la distribution stable est concernée par ces failles.
L'équipe de sécurité Debian est également le point de contact pour les problèmes qui sont coordonnés par les développeurs amont ou des organisations comme le htttp://www.cert.org, qui peuvent toucher de multiples distributeurs, c'est-à-dire quand les problèmes ne sont pas spécifiques à Debian. Le point de contact avec l'équipe de sécurité est mailto:[email protected] qui n'est lu que par les membres de l'équipe de sécurité.
Les informations secrètes devraient être envoyées à la première adresse et, dans certains cas, devraient être chiffrées avec la clef du contact de l'équipe de sécurité (disponible dans le trousseau Debian).
Dès qu'un problème probable est reçu par l'équipe de sécurité, elle recherchera si la distribution stable est affectée et si c'est le cas, un correctif sera créé pour la base de code source. Ce correctif contiendra parfois un rétroportage du correctif effectué en amont (qui est habituellement en avance de plusieurs versions par rapport à la version distribuée par Debian). Après qu'un test du correctif ait été effectué, les nouveaux paquets sont préparés et publiés sur le site htttp://security.debian.org pour pouvoir être récupérés par apt (consultez Section 4.2, « Faire une mise à jour de sécurité »). En même temps, une alerte de sécurité Debian (Debian Security Advisory ou DSA) est publiée sur le site web et envoyée aux listes de diffusion publiques y compris htttp://lists.debian.org/debian-security-announce et Bugtraq.
D'autres questions souvent posées sur l'équipe de sécurité Debian peuvent être trouvées en Section 12.3, « Questions concernant l'équipe de sécurité Debian ».