Arch Security Team
Arch Security Team は Arch Linux パッケージのセキュリティ問題を追跡することを目的としたボランティアグループです。全ての問題は Arch Linux security tracker で追跡されています。このチームは以前は Arch CVE Monitoring Team として知られていました。
目次
目的
Arch Security Team の使命は、Arch Linux のセキュリティの向上に貢献することです。
チームの最も重要な任務は、Common Vulnerabilities and Exposure に割り当てられた問題を発見し追跡することです。(CVE)といいます。CVE は公開されており、CVE-YYYY-numberという形のユニークな ID で識別されます。
彼らは ASA (Arch Linux Security Advisory) を発行しており、これは Arch ユーザに配布される Arch 固有の警告です。ASA はピアレビューのために tracker にスケジュールされ、公開される前にチームメンバーから2つの承認が必要です。
Arch Linux security tracker は Arch Security Team がパッケージの追跡、CVE の追加、アドバイザリーテキストの生成に使用しているプラットフォームです。
貢献する
脆弱性の特定に関与するためには、以下を推奨します。
- IRC チャンネル #archlinux-security をフォローする。このチャンネルは CVE、影響を受けるパッケージ、最初に修正されたパッケージの バージョンを報告し、議論するための主要なコミュニケーションメディアです。
- 新しい問題について早期に警告を受けるために、新しい CVE について推奨される #Mailing lists を監視し、必要であれば他の情報源も利用することができます。
- ボランティアで勧告に目を通し、間違いや質問、コメントを探し、IRC チャンネルで 報告することをお勧めします。
- メーリングリスト arch-security と oss-security を購読してください。
- arch-security-tracker (GitHub) プロジェクトにコードをコミットすることは、チームに貢献するための素晴らしい方法です。
- Arch Linux のパッケージリポジトリに依存している派生ディストリビューションは誰でも貢献することが推奨されます。これはすべてのユーザーのセキュリティに役立ちます。
手順
Arch Linux の公式リポジトリで公開されているソフトウェアにセキュリティ脆弱性が発見された場合の手順は以下の通りです。
情報共有と調査段階
- Arch Security Team のメンバーに連絡し、チームが問題を認識したことを確認します。
- 脆弱性を立証するために、CVE レポートを現在のパッケージのバージョン(可能な限りのパッチを含む)と照合し、検索エンジン経由も含め、その問題について可能な限りの情報を収集します。セキュリティ問題を調査するために助けが必要な場合は、IRC チャンネルでアドバイスやサポートを求めてください。
上流の状況とバグレポート
2つの状況が考えられます。
- 上流が問題を修正した新バージョンをリリースした場合、セキュリティチームメンバーはそのパッケージをアウトオブデートにフラグする必要があります。
- もしそのパッケージが長い間更新されていないなら、 その脆弱性についてバグレポートを提出すべきです。
- もしこの問題が重要なセキュリティ問題であれば、パッケージを out-of-date とした後、直ちにバグレポートを提出しなければなりません。
- 上流のリリースがない場合は、バグ報告に緩和のためのパッチを含めてください。バグレポートには、以下の情報を記載する必要があります。
- セキュリティ上の問題点とその影響についての説明
- CVE-ID と(アップストリーム)レポートへのリンク
- リリースがない場合は、問題を緩和するアップストリームパッチへのリンク(または添付ファイル)。
トラッキングとパブリッシング
以下の作業はチームメンバーで行ってください。
- チームメンバーは、security tracker に勧告を作成し、追跡用の CVE を追加します。
- arch-security にアクセスできるチームメンバーが、トラッカーから ASA を生成し、公開します。
リソース
RSS
- National Vulnerability Database (NVD)
- すべての CVE 脆弱性 : https://nvd.nist.gov/download/nvd-rss.xml
- 完全に解析されたすべての CVE 脆弱性: https://nvd.nist.gov/download/nvd-rss-analyzed.xml
メーリングリスト
- 自由なソフトウェアのセキュリティを扱う主要なリストで、多くのCVE帰属がここで起こります。セキュリティニュースを追いたい場合は必須です。
- 情報: https://oss-security.openwall.org/wiki/mailing-lists/oss-security
- 購読: oss-security-subscribe(at)lists.openwall.com
- アーカイブ: https://www.openwall.com/lists/oss-security/
- BugTraq
- 完全公開のモデレートされたメーリングリスト (メール多めです)
- 情報: https://www.securityfocus.com/archive/1/description
- 購読: bugtraq-subscribe(at)securityfocus.com
- Full Disclosure もう一つの完全開示型メーリングリスト (メール多めです)
- 情報: https://nmap.org/mailman/listinfo/fulldisclosure
- 登録: full-disclosure-request(at)seclists.org
LibreOffice、X.org、Puppetlabs、ISC など、特定のパッケージのメーリングリストをフォローすることも検討してみてください。
他のディストリビューション
他のディストリビューションのリソース(CVE、パッチ、コメントなどを探す)。
- RedHat と Fedora
- アドバイザリーフィード: https://bodhi.fedoraproject.org/rss/updates/?type=security
- CVE トラッカー: https://access.redhat.com/security/cve/<CVE-ID>.
- バグトラッカー: https://bugzilla.redhat.com/show_bug.cgi?id=<CVE-ID>
- Ubuntu
- アドバイザリーフィード: https://usn.ubuntu.com/usn/atom.xml
- CVE トラッカー: https://people.canonical.com/~ubuntu-security/cve/?cve=<CVE-ID>
- データベース: https://code.launchpad.net/~ubuntu-security/ubuntu-cve-tracker/master
- Debian
- CVE トラッカー: https://security-tracker.debian.org/tracker/<CVE-ID>/
- パッチトラッカー: https://tracker.debian.org/pkg/patch
- データベース: https://salsa.debian.org/security-tracker-team/security-tracker/tree/master/data
- OpenSUSE
- CVE トラッカー: https://www.suse.com/security/cve/<CVE-ID>/
その他
- CVE の Mitre と NVD のリンク
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=<CVE-ID>
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=<CVE-ID>
NVD と Mitre は帰属後すぐに CVE エントリを埋めるとは限らないので、Arch とは必ずしも関係がありません。CVE-ID と "Date Entry Created" フィールドは特に意味を持ちません。CVE は CVE Numbering Authorities (CNA) によって帰属され、各 CNA は必要に応じて Mitre から CVE ブロックを取得するため、CVE ID と帰属日は連動していません。Date Entry Created" フィールドは、多くの場合、CVEブロックがCNAに渡された時を示すだけで、それ以上の意味はないのです。
Linux Weekly News LWN は様々なディストリビューションに対するセキュリティアップデートを毎日お知らせしています。
もっと見る
その他のリソースについては、OpenWall の Open Source Software Security Wiki を参照してください。
Team members
The current members of the Arch Security Team are: