Информация об оповещениях об уязвимостях в безопасности FreeBSD

Проблемы безопасности FreeBSD, относящиеся конкретно к операционной системе, следует сообщать Команде безопасности FreeBSD или, если требуется более высокий уровень конфиденциальности, отправлять зашифрованными PGP для Команды Директора по безопасности с использованием PGP-ключа Директора по безопасности.

О проблемах безопасности FreeBSD, относящихся непосредственно к Коллекции портов, следует сообщать Команде безопасности портов FreeBSD.

Все сообщения должны содержать как минимум:

По возможности, также будет полезно включить предысторию, описание проблемы, воздействие и временное решение (если применимо), используя шаблоны для уведомлений о безопасности и уведомлений об ошибках, в зависимости от ситуации.

После того как эта информация будет отправлена, с вами свяжется Директор по безопасности или представитель Команды безопасности.

Для того чтобы проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, письма, отправленные на почтовый псевдоним <security-officer@FreeBSD.org>, в настоящее время доставляются следующим людям:

Директора по безопасности поддерживает Команда безопасности FreeBSD, <secteam@FreeBSD.org> — небольшая группа коммиттеров, проверенных Директором по безопасности.

В качестве общей политики Директор по безопасности FreeBSD выступает за полное раскрытие информации об уязвимости после разумной задержки, позволяющей провести безопасный анализ и исправление уязвимости, а также соответствующее тестирование исправления и координацию с другими затронутыми сторонами.

Директор по безопасности будет уведомлять одного или нескольких администраторов кластеров FreeBSD об уязвимостях, которые создают непосредственную опасность для ресурсов проекта FreeBSD.

Директор по безопасности может привлечь других разработчиков FreeBSD или сторонних разработчиков к обсуждению представленной уязвимости безопасности, если их опыт необходим для полного понимания или исправления проблемы. Будет проявлена соответствующая осмотрительность для минимизации ненужного распространения информации о представленной уязвимости, и любые привлечённые эксперты будут действовать в соответствии с политиками Директора по безопасности. В прошлом эксперты привлекались на основе большого опыта работы с особо сложными компонентами операционной системы, включая FFS, систему виртуальной памяти и сетевой стек.

Если идёт подготовки релиза версии FreeBSD, инженер по подготовке релиза FreeBSD также может быть уведомлен о существовании уязвимости и её серьезности, чтобы можно было принимать обоснованные решения относительно цикла выпуска и любых критичных ошибок безопасности в программном обеспечении, связанном с предстоящим выпуском. По запросу офицер по безопасности не будет делиться информацией о характере уязвимости с инженером по подготовке релиза, ограничивая поток информации фактом существования и критичностью.

Директор по безопасности FreeBSD имеет тесные рабочие отношения с рядом других организаций, включая сторонних поставщиков, которые используют общий код с FreeBSD (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие вендоры, использующие программное обеспечение от FreeBSD, а также список безопасности вендоров Linux), а также организации, которые отслеживают уязвимости и инциденты безопасности, такие как CERT. Часто уязвимости могут выходить за рамки реализации FreeBSD и (возможно, реже) иметь широкие последствия для мирового сетевого сообщества. В таких обстоятельствах Директор по безопасности может пожелать раскрыть информацию об уязвимости этим другим организациям: если вы не хотите, чтобы Директор по безопасности делал это, пожалуйста, явно укажите это в любых отправляемых материалах.

Отправители должны тщательно и явно документировать любые особые требования к обработке информации.

Если отправитель информации об уязвимости заинтересован в согласованном процессе раскрытия информации с участием отправителя и/или других вендоров, это следует явно указать в любых отправляемых материалах. При отсутствии явных запросов Директор по безопасности FreeBSD выберет график раскрытия информации, который отражает как стремление к своевременному раскрытию, так и соответствующее тестирование любых решений. Отправители должны знать, что если уязвимость активно обсуждается на публичных форумах (таких как bugtraq) и активно используется, Директор по безопасности может отказаться от следования предложенному графику раскрытия информации, чтобы обеспечить максимальную защиту сообщества пользователей.

Отправляемые материалы могут быть защищены с помощью PGP. При желании ответы также будут защищены с помощью PGP.