「Arch Security Team」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(→‎Contribute: 翻訳)
(カテゴリの修正)
 
(他の1人の利用者による、間の4版が非表示)
1行目: 1行目:
 
[[Category:Arch 開発]]
 
[[Category:Arch 開発]]
 
[[Category:セキュリティ]]
 
[[Category:セキュリティ]]
[[Category:Teams]]
+
[[Category:チーム]]
 
[[en:Arch Security Team]]
 
[[en:Arch Security Team]]
 
[[pt:Arch Security Team]]
 
[[pt:Arch Security Team]]
33行目: 33行目:
 
* Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。
 
* Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。
   
== Procedure ==
+
== 手順 ==
   
  +
Arch Linux の公式リポジトリで公開されているソフトウェアにセキュリティ脆弱性が発見された場合の手順は以下の通りです。
The procedure to follow whenever a security vulnerability has been found in a software packaged within the Arch Linux official repositories is the following:
 
   
  +
=== 情報共有と調査段階 ===
=== Information sharing and investigation phase ===
 
   
  +
* Arch Security Team のメンバーに連絡し、チームが問題を認識したことを確認します。
* Reach out an Arch Security Team member via your preferred channel to ensure the issue has been brought to the attention of the team.
 
  +
* 脆弱性を立証するために、CVE レポートを現在のパッケージのバージョン(可能な限りのパッチを含む)と照合し、検索エンジン経由も含め、その問題について可能な限りの情報を収集します。セキュリティ問題を調査するために助けが必要な場合は、IRC チャンネルでアドバイスやサポートを求めてください。
* In order to substantiate the vulnerability, verify the CVE report against the current package version (including possible patches), and collect as much information as possible on the issue, including via search engines. If you need help to investigate the security issue, ask for advice or support on the IRC channel.
 
   
  +
=== 上流の状況とバグレポート ===
=== Upstream situation and bug reporting ===
 
   
  +
2つの状況が考えられます。
Two situations may arise:
 
   
  +
* 上流が問題を修正した新バージョンをリリースした場合、セキュリティチームメンバーはそのパッケージをアウトオブデートにフラグする必要があります。
* If upstream released a new version that fixes the issue, the Security Team member should flag the package out-of-date.
 
  +
** もしそのパッケージが長い間更新されていないなら、 その脆弱性についてバグレポートを提出すべきです。
** If the package has not been updated after a long delay, a bug report should be filed about the vulnerability.
 
  +
** もしこの問題が重要なセキュリティ問題であれば、パッケージを out-of-date とした後、直ちにバグレポートを提出しなければなりません。
** If this is a critical security issue, a bug report must be filed immediately after flagging the package out-of-date.
 
  +
* 上流のリリースがない場合は、バグ報告に緩和のためのパッチを含めてください。バグレポートには、以下の情報を記載する必要があります。
* If there is no upstream release available, a bug report must be filed including the patches for mitigation. The following information must be provided in the bug report:
 
  +
** セキュリティ上の問題点とその影響についての説明
** Description about the security issue and its impact
 
  +
** CVE-ID と(アップストリーム)レポートへのリンク
** Links to the CVE-IDs and (upstream) report
 
  +
** リリースがない場合は、問題を緩和するアップストリームパッチへのリンク(または添付ファイル)。
** If no release is available, links to the upstream patches (or attachments) that mitigate the issue
 
   
  +
=== トラッキングとパブリッシング ===
=== Tracking and publishing ===
 
   
  +
以下の作業はチームメンバーで行ってください。
The following tasks must be performed by team members:
 
   
* A team member will create an advisory on the [https://security.archlinux.org/ security tracker] and add the CVEs for tracking.
+
* チームメンバーは、[https://security.archlinux.org/ security tracker] に勧告を作成し、追跡用の CVE を追加します。
* A team member with access to [https://lists.archlinux.org/listinfo/arch-security arch-security] will generate an ASA from the tracker and publish it.
+
* [https://lists.archlinux.org/listinfo/arch-security arch-security] にアクセスできるチームメンバーが、トラッカーから ASA を生成し、公開します。
   
{{Note|If you have a private bug to report, contact [https://mailman.archlinux.org/pipermail/arch-security/2014-June/000088.html security@archlinux.org]. Please note that the address for private bug reporting is ''security'', not ''arch-security''. A private bug is one that is too sensitive to post where anyone can read and exploit it, e.g. vulnerabilities in the Arch Linux infrastructure.}}
+
{{Note|プライベートなバグを報告したい場合は [https://mailman.archlinux.org/pipermail/arch-security/2014-June/000088.html security@archlinux.org]. プライベートなバグの報告のアドレスは ''arch-security'' ではなく ''security'' であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです}}
   
== Resources ==
+
== リソース ==
   
 
=== RSS ===
 
=== RSS ===
   
 
; National Vulnerability Database (NVD)
 
; National Vulnerability Database (NVD)
: All CVE vulnerabilites: https://nvd.nist.gov/download/nvd-rss.xml
+
: すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
: All fully analyzed CVE vulnerabilities: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
+
: 完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
   
=== Mailing lists ===
+
=== メーリングリスト ===
   
  +
: 自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
; oss-sec: Main list dealing with security of free software, a lot of CVE attributions happen here, required if you wish to follow security news.
 
: Info: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
+
: 情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
: Subscribe: oss-security-subscribe(at)lists.openwall.com
+
: 購読: oss-security-subscribe(at)lists.openwall.com
: Archive: https://www.openwall.com/lists/oss-security/
+
: アーカイブ: https://www.openwall.com/lists/oss-security/
   
  +
; BugTraq: 完全公開のモデレートされたメーリングリスト (メール多めです)
; BugTraq: A full disclosure moderated mailing list (noisy).
 
: Info: https://www.securityfocus.com/archive/1/description
+
: 情報: https://www.securityfocus.com/archive/1/description
: Subscribe: bugtraq-subscribe(at)securityfocus.com
+
: 購読: bugtraq-subscribe(at)securityfocus.com
   
  +
: 完全公開されたもう一つの完全開示型メーリングリスト (メール多めです)
; Full Disclosure: Another full-disclosure mailing-list (noisy).
 
: Info: https://nmap.org/mailman/listinfo/fulldisclosure
+
: 情報: https://nmap.org/mailman/listinfo/fulldisclosure
: Subscribe: full-disclosure-request(at)seclists.org
+
: 登録: full-disclosure-request(at)seclists.org
   
  +
LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。
Also consider following the mailing lists for specific packages, such as LibreOffice, X.org, Puppetlabs, ISC, etc.
 
   
  +
=== 他のディストリビューション ===
=== Other distributions ===
 
   
  +
他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。
Resources of other distributions (to look for CVE, patch, comments etc.):
 
   
; RedHat and Fedora:
+
; RedHat Fedora
: Advisories feed: https://bodhi.fedoraproject.org/rss/updates/?type=security
+
: アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
: CVE tracker: https://access.redhat.com/security/cve/<CVE-ID>
+
: CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
: Bug tracker: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
+
: バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
   
; Ubuntu:
+
; Ubuntu
: Advisories feed: https://usn.ubuntu.com/usn/atom.xml
+
: アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
: CVE tracker: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
+
: CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
: Database: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
+
: データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
   
 
; Debian:
 
; Debian:
: CVE tracker: https://security-tracker.debian.org/tracker/<CVE-ID>/
+
: CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
: Patch tracker: https://tracker.debian.org/pkg/patch
+
: パッチトラッカー: https://tracker.debian.org/pkg/patch
: Database: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
+
: データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
   
 
; OpenSUSE:
 
; OpenSUSE:
: CVE tracker: https://www.suse.com/security/cve/<CVE-ID>/
+
: CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/
   
=== Other ===
+
=== その他 ===
   
; Mitre and NVD links for CVE's:
+
; CVE の Mitre NVD のリンク
 
: https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
 
: https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
 
: https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
 
: https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
   
NVD and Mitre do not necessarily fill their CVE entry immediately after attribution, so it is not always relevant for Arch. The CVE-ID and the "Date Entry Created" fields do not have particular meaning. CVE are attributed by CVE Numbering Authorities (CNA), and each CNA obtain CVE blocks from Mitre when needed/asked, so the CVE ID is not linked to the attribution date. The "Date Entry Created" field often only indicates when the CVE block was given to the CNA, nothing more.
+
NVD Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID "Date Entry Created" フィールドは特に意味を持ちません。CVE CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。
   
  +
Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。
; Linux Weekly News: LWN provides a daily notice of security updates for various distributions.
 
 
: https://lwn.net/headlines/newrss
 
: https://lwn.net/headlines/newrss
   
=== More ===
+
=== もっと見る ===
   
For more resources, please see the OpenWall's [https://oss-security.openwall.org/wiki/ Open Source Software Security Wiki].
+
その他のリソースについては、OpenWall [https://oss-security.openwall.org/wiki/ Open Source Software Security Wiki] を参照してください。
   
== Team members ==
+
== チームメンバー ==
   
The current members of the Arch Security Team are:
+
現在の Arch Security Team メンバーは以下の通りです。
   
* [[User:anthraxx|Levente Polyak]]
+
* [https://wiki.archlinux.org/title/User:Anthraxx Levente Polyak]
* [[User:rgacogne|Remi Gacogne]]
+
* [https://wiki.archlinux.org/title/User:Rgacogne Remi Gacogne]
* [[User:Shibumi|Christian Rebischke]]
+
* [https://wiki.archlinux.org/title/User:Shibumi Christian Rebischke]
* [[User:Jelly|Jelle van der Waa]]
+
* [https://wiki.archlinux.org/title/User:Jelly Jelle van der Waa]
* [[User:Sangy|Santiago Torres-Arias]]
+
* [https://wiki.archlinux.org/title/User:Sangy Santiago Torres-Arias]
* [[User:Foxboron|Morten Linderud]]
+
* [https://wiki.archlinux.org/title/User:Foxboron Morten Linderud]
* [[User:Andrea.denisse|Denisse Gómez]]
+
* [https://wiki.archlinux.org/title/User:Andrea.denisse Denisse Gómez]
* [[User:Diabonas|Jonas Witschel]]
+
* [https://wiki.archlinux.org/title/User:Diabonas Jonas Witschel]
   
{{Tip|Type {{ic|!pingsec ''Message to the Arch Security Team''}} in any [[IRC channel]] where [[phrik]] is present to highlight all current security team members.}}
+
{{Tip|[https://wiki.archlinux.org/title/Phrik phrik] がいる任意の [[IRC チャンネル]] で {{ic|!pingsec ''Message to Arch Security Team''}} と入力すると、現在のセキュリティチーム全員がハイライトされます}}

2022年8月5日 (金) 14:27時点における最新版

Arch Security Team は Arch Linux パッケージのセキュリティ問題を追跡することを目的としたボランティアグループです。全ての問題は Arch Linux security tracker で追跡されています。このチームは以前は Arch CVE Monitoring Team として知られていました。

目的

Arch Security Team の使命は、Arch Linux のセキュリティの向上に貢献することです。

チームの最も重要な任務は、Common Vulnerabilities and Exposure に割り当てられた問題を発見し追跡することです。(CVE)といいます。CVE は公開されており、CVE-YYYY-numberという形のユニークな ID で識別されます。

彼らは ASA (Arch Linux Security Advisory) を発行しており、これは Arch ユーザに配布される Arch 固有の警告です。ASA はピアレビューのために tracker にスケジュールされ、公開される前にチームメンバーから2つの承認が必要です。

Arch Linux security tracker は Arch Security Team がパッケージの追跡、CVE の追加、アドバイザリーテキストの生成に使用しているプラットフォームです。

ノート:
  • Arch Linux Vulnerability Group (AVG) とは、同じ pkgbase 内のパッケージ群に関連する CVEs のグループです。
  • 勧告の対象となるパッケージは core, extra, community, multilib リポジトリの一部です。

貢献する

脆弱性の特定に関与するためには、以下を推奨します。

  • IRC チャンネル #archlinux-security をフォローする。このチャンネルは CVE、影響を受けるパッケージ、最初に修正されたパッケージの バージョンを報告し、議論するための主要なコミュニケーションメディアです。
  • 新しい問題について早期に警告を受けるために、新しい CVE について推奨される #Mailing lists を監視し、必要であれば他の情報源も利用することができます。
  • ボランティアで勧告に目を通し、間違いや質問、コメントを探し、IRC チャンネルで 報告することをお勧めします。
  • メーリングリスト arch-securityoss-security を購読してください。
  • arch-security-tracker (GitHub) プロジェクトにコードをコミットすることは、チームに貢献するための素晴らしい方法です。
  • Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。

手順

Arch Linux の公式リポジトリで公開されているソフトウェアにセキュリティ脆弱性が発見された場合の手順は以下の通りです。

情報共有と調査段階

  • Arch Security Team のメンバーに連絡し、チームが問題を認識したことを確認します。
  • 脆弱性を立証するために、CVE レポートを現在のパッケージのバージョン(可能な限りのパッチを含む)と照合し、検索エンジン経由も含め、その問題について可能な限りの情報を収集します。セキュリティ問題を調査するために助けが必要な場合は、IRC チャンネルでアドバイスやサポートを求めてください。

上流の状況とバグレポート

2つの状況が考えられます。

  • 上流が問題を修正した新バージョンをリリースした場合、セキュリティチームメンバーはそのパッケージをアウトオブデートにフラグする必要があります。
    • もしそのパッケージが長い間更新されていないなら、 その脆弱性についてバグレポートを提出すべきです。
    • もしこの問題が重要なセキュリティ問題であれば、パッケージを out-of-date とした後、直ちにバグレポートを提出しなければなりません。
  • 上流のリリースがない場合は、バグ報告に緩和のためのパッチを含めてください。バグレポートには、以下の情報を記載する必要があります。
    • セキュリティ上の問題点とその影響についての説明
    • CVE-ID と(アップストリーム)レポートへのリンク
    • リリースがない場合は、問題を緩和するアップストリームパッチへのリンク(または添付ファイル)。

トラッキングとパブリッシング

以下の作業はチームメンバーで行ってください。

  • チームメンバーは、security tracker に勧告を作成し、追跡用の CVE を追加します。
  • arch-security にアクセスできるチームメンバーが、トラッカーから ASA を生成し、公開します。
ノート: プライベートなバグを報告したい場合は security@archlinux.org. プライベートなバグの報告のアドレスは arch-security ではなく security であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです

リソース

RSS

National Vulnerability Database (NVD)
すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml

メーリングリスト

自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
購読: oss-security-subscribe(at)lists.openwall.com
アーカイブ: https://www.openwall.com/lists/oss-security/
BugTraq
完全公開のモデレートされたメーリングリスト (メール多めです)
情報: https://www.securityfocus.com/archive/1/description
購読: bugtraq-subscribe(at)securityfocus.com
完全公開されたもう一つの完全開示型メーリングリスト (メール多めです)
情報: https://nmap.org/mailman/listinfo/fulldisclosure
登録: full-disclosure-request(at)seclists.org

LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。

他のディストリビューション

他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。

RedHat と Fedora
アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
Ubuntu
アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
Debian
CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
パッチトラッカー: https://tracker.debian.org/pkg/patch
データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
OpenSUSE
CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/

その他

CVE の Mitre と NVD のリンク
https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

NVD と Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID と "Date Entry Created" フィールドは特に意味を持ちません。CVE は CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。

Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。

https://lwn.net/headlines/newrss

もっと見る

その他のリソースについては、OpenWall の Open Source Software Security Wiki を参照してください。

チームメンバー

現在の Arch Security Team メンバーは以下の通りです。

ヒント: phrik がいる任意の IRC チャンネル!pingsec Message to Arch Security Team と入力すると、現在のセキュリティチーム全員がハイライトされます