「Arch Security Team」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(→‎Procedure: 翻訳)
(→‎Resources: 翻訳)
63行目: 63行目:
 
{{Note|プライベートなバグを報告したい場合は [https://mailman.archlinux.org/pipermail/arch-security/2014-June/000088.html security@archlinux.org]. プライベートなバグの報告のアドレスは ''arch-security'' ではなく ''security'' であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです}}
 
{{Note|プライベートなバグを報告したい場合は [https://mailman.archlinux.org/pipermail/arch-security/2014-June/000088.html security@archlinux.org]. プライベートなバグの報告のアドレスは ''arch-security'' ではなく ''security'' であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです}}
   
== Resources ==
+
== リソース ==
   
 
=== RSS ===
 
=== RSS ===
   
 
; National Vulnerability Database (NVD)
 
; National Vulnerability Database (NVD)
: All CVE vulnerabilites: https://nvd.nist.gov/download/nvd-rss.xml
+
: すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
: All fully analyzed CVE vulnerabilities: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
+
: 完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
   
=== Mailing lists ===
+
=== メーリングリスト ===
   
  +
: 自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
; oss-sec: Main list dealing with security of free software, a lot of CVE attributions happen here, required if you wish to follow security news.
 
: Info: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
+
: 情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
: Subscribe: oss-security-subscribe(at)lists.openwall.com
+
: 購読: oss-security-subscribe(at)lists.openwall.com
: Archive: https://www.openwall.com/lists/oss-security/
+
: アーカイブ: https://www.openwall.com/lists/oss-security/
   
  +
; BugTraq: 完全公開のモデレートされたメーリングリスト (メール多めです)
; BugTraq: A full disclosure moderated mailing list (noisy).
 
: Info: https://www.securityfocus.com/archive/1/description
+
: 情報: https://www.securityfocus.com/archive/1/description
: Subscribe: bugtraq-subscribe(at)securityfocus.com
+
: 購読: bugtraq-subscribe(at)securityfocus.com
   
  +
: Full Disclosure もう一つの完全開示型メーリングリスト (メール多めです)
; Full Disclosure: Another full-disclosure mailing-list (noisy).
 
: Info: https://nmap.org/mailman/listinfo/fulldisclosure
+
: 情報: https://nmap.org/mailman/listinfo/fulldisclosure
: Subscribe: full-disclosure-request(at)seclists.org
+
: 登録: full-disclosure-request(at)seclists.org
   
  +
LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。
Also consider following the mailing lists for specific packages, such as LibreOffice, X.org, Puppetlabs, ISC, etc.
 
   
  +
=== 他のディストリビューション ===
=== Other distributions ===
 
   
  +
他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。
Resources of other distributions (to look for CVE, patch, comments etc.):
 
   
; RedHat and Fedora:
+
; RedHat Fedora
: Advisories feed: https://bodhi.fedoraproject.org/rss/updates/?type=security
+
: アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
: CVE tracker: https://access.redhat.com/security/cve/<CVE-ID>
+
: CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
: Bug tracker: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
+
: バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
   
; Ubuntu:
+
; Ubuntu
: Advisories feed: https://usn.ubuntu.com/usn/atom.xml
+
: アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
: CVE tracker: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
+
: CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
: Database: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
+
: データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
   
 
; Debian:
 
; Debian:
: CVE tracker: https://security-tracker.debian.org/tracker/<CVE-ID>/
+
: CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
: Patch tracker: https://tracker.debian.org/pkg/patch
+
: パッチトラッカー: https://tracker.debian.org/pkg/patch
: Database: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
+
: データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
   
 
; OpenSUSE:
 
; OpenSUSE:
: CVE tracker: https://www.suse.com/security/cve/<CVE-ID>/
+
: CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/
   
=== Other ===
+
=== その他 ===
   
; Mitre and NVD links for CVE's:
+
; CVE の Mitre NVD のリンク
 
: https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
 
: https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
 
: https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
 
: https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
   
NVD and Mitre do not necessarily fill their CVE entry immediately after attribution, so it is not always relevant for Arch. The CVE-ID and the "Date Entry Created" fields do not have particular meaning. CVE are attributed by CVE Numbering Authorities (CNA), and each CNA obtain CVE blocks from Mitre when needed/asked, so the CVE ID is not linked to the attribution date. The "Date Entry Created" field often only indicates when the CVE block was given to the CNA, nothing more.
+
NVD Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID "Date Entry Created" フィールドは特に意味を持ちません。CVE CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。
   
  +
Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。
; Linux Weekly News: LWN provides a daily notice of security updates for various distributions.
 
 
: https://lwn.net/headlines/newrss
 
: https://lwn.net/headlines/newrss
   
=== More ===
+
=== もっと見る ===
   
For more resources, please see the OpenWall's [https://oss-security.openwall.org/wiki/ Open Source Software Security Wiki].
+
その他のリソースについては、OpenWall [https://oss-security.openwall.org/wiki/ Open Source Software Security Wiki] を参照してください。
   
 
== Team members ==
 
== Team members ==

2022年2月6日 (日) 21:10時点における版

Arch Security Team は Arch Linux パッケージのセキュリティ問題を追跡することを目的としたボランティアグループです。全ての問題は Arch Linux security tracker で追跡されています。このチームは以前は Arch CVE Monitoring Team として知られていました。

目的

Arch Security Team の使命は、Arch Linux のセキュリティの向上に貢献することです。

チームの最も重要な任務は、Common Vulnerabilities and Exposure に割り当てられた問題を発見し追跡することです。(CVE)といいます。CVE は公開されており、CVE-YYYY-numberという形のユニークな ID で識別されます。

彼らは ASA (Arch Linux Security Advisory) を発行しており、これは Arch ユーザに配布される Arch 固有の警告です。ASA はピアレビューのために tracker にスケジュールされ、公開される前にチームメンバーから2つの承認が必要です。

Arch Linux security tracker は Arch Security Team がパッケージの追跡、CVE の追加、アドバイザリーテキストの生成に使用しているプラットフォームです。

ノート:
  • Arch Linux Vulnerability Group (AVG) とは、同じ pkgbase 内のパッケージ群に関連する CVEs のグループです。
  • 勧告の対象となるパッケージは core, extra, community, multilib リポジトリの一部です。

貢献する

脆弱性の特定に関与するためには、以下を推奨します。

  • IRC チャンネル #archlinux-security をフォローする。このチャンネルは CVE、影響を受けるパッケージ、最初に修正されたパッケージの バージョンを報告し、議論するための主要なコミュニケーションメディアです。
  • 新しい問題について早期に警告を受けるために、新しい CVE について推奨される #Mailing lists を監視し、必要であれば他の情報源も利用することができます。
  • ボランティアで勧告に目を通し、間違いや質問、コメントを探し、IRC チャンネルで 報告することをお勧めします。
  • メーリングリスト arch-securityoss-security を購読してください。
  • arch-security-tracker (GitHub) プロジェクトにコードをコミットすることは、チームに貢献するための素晴らしい方法です。
  • Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。

手順

Arch Linux の公式リポジトリで公開されているソフトウェアにセキュリティ脆弱性が発見された場合の手順は以下の通りです。

情報共有と調査段階

  • Arch Security Team のメンバーに連絡し、チームが問題を認識したことを確認します。
  • 脆弱性を立証するために、CVE レポートを現在のパッケージのバージョン(可能な限りのパッチを含む)と照合し、検索エンジン経由も含め、その問題について可能な限りの情報を収集します。セキュリティ問題を調査するために助けが必要な場合は、IRC チャンネルでアドバイスやサポートを求めてください。

上流の状況とバグレポート

2つの状況が考えられます。

  • 上流が問題を修正した新バージョンをリリースした場合、セキュリティチームメンバーはそのパッケージをアウトオブデートにフラグする必要があります。
    • もしそのパッケージが長い間更新されていないなら、 その脆弱性についてバグレポートを提出すべきです。
    • もしこの問題が重要なセキュリティ問題であれば、パッケージを out-of-date とした後、直ちにバグレポートを提出しなければなりません。
  • 上流のリリースがない場合は、バグ報告に緩和のためのパッチを含めてください。バグレポートには、以下の情報を記載する必要があります。
    • セキュリティ上の問題点とその影響についての説明
    • CVE-ID と(アップストリーム)レポートへのリンク
    • リリースがない場合は、問題を緩和するアップストリームパッチへのリンク(または添付ファイル)。

トラッキングとパブリッシング

以下の作業はチームメンバーで行ってください。

  • チームメンバーは、security tracker に勧告を作成し、追跡用の CVE を追加します。
  • arch-security にアクセスできるチームメンバーが、トラッカーから ASA を生成し、公開します。
ノート: プライベートなバグを報告したい場合は security@archlinux.org. プライベートなバグの報告のアドレスは arch-security ではなく security であることに注意してください。プライベートなバグとは、例えば Arch Linux のインフラストラクチャの脆弱性など、誰もが閲覧・利用できる場所に投稿するにはあまりに機密性の高いバグのことです

リソース

RSS

National Vulnerability Database (NVD)
すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml

メーリングリスト

自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
購読: oss-security-subscribe(at)lists.openwall.com
アーカイブ: https://www.openwall.com/lists/oss-security/
BugTraq
完全公開のモデレートされたメーリングリスト (メール多めです)
情報: https://www.securityfocus.com/archive/1/description
購読: bugtraq-subscribe(at)securityfocus.com
Full Disclosure もう一つの完全開示型メーリングリスト (メール多めです)
情報: https://nmap.org/mailman/listinfo/fulldisclosure
登録: full-disclosure-request(at)seclists.org

LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。

他のディストリビューション

他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。

RedHat と Fedora
アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
Ubuntu
アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
Debian
CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
パッチトラッカー: https://tracker.debian.org/pkg/patch
データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
OpenSUSE
CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/

その他

CVE の Mitre と NVD のリンク
https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>

NVD と Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID と "Date Entry Created" フィールドは特に意味を持ちません。CVE は CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。

Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。

https://lwn.net/headlines/newrss

もっと見る

その他のリソースについては、OpenWall の Open Source Software Security Wiki を参照してください。

Team members

The current members of the Arch Security Team are:

ヒント: Type !pingsec Message to the Arch Security Team in any IRC channel where phrik is present to highlight all current security team members.