Security Incident Handling
SUSE Linux tabanlı dağıtımların güvenlik olaylarıyla, SUSE Güvenlik Takımı ilgilenir.
Marcus bu konuda FOSDEM2006'da bir konuşma yaptı, eğer bakmak istiyorsanız, yansılar, videolar ve ses kayıtları için FOSDEM sayfasına göz atınız.
Olay hakkında bilgi sahibi olmak
Güvenlik sorunları için çeşitli bilgi kaynaklarını izliyoruz. Bunlar posta listelerini, hem genel hem genel olmayan, kendi ana iletişim adresimizi (security@suse.de), bugzilla, paket sürüm güncellemelerini ve Mitre CVE veritabanını içerir.
Ayrıca sorunlar kendi kaynak kodu denemeleriyle de bulunabilir.
Olaydan haberdar olunduktan sonra, bu Novell Bugzilla'ya eklenir. (Hata genelde herkese görünür olmadığı için) Eğer, bu hataların ve nasıl çözümlediğimizin örneklerini görmek istiyorsanız, bu bağlantıya bakınız.
Hata raporu şunları içerir:
- Raporun tanımı ve nereden aldığımız
- olası yamalar (varsa)
- olası istismarlar (varsa)
- ortaya çıkma zamanları
- herhangi CVE / CERT VU# id'leri (varsa)
Bu, daha sonra paketleyiciye verilir. (Güvenlik ekibi paketleri, yalnızca seyrekçe kendileri düzeltirler, çünkü kendi paketlerini (ve çevreleyen topluluğu) en iyi paketleyiciler bilirler.
Paketleyici
Paketleyici, yamaları alır (ve oluşturur) ve tüm desteklenen eski sürümlerdeki paketlere uygular.
Bunu, gerekirse abone üstü geliştiricilere iletir.
Var olan geliştirme ağacını, genellikle güvenlik sorunları sonrası dağıtılan yeni abone üstü sürümle günceller.
İşini bitirdiğinde, paketleri etkilenen dağıtımların teslim hazırlama dizinlerine (checkin staging directories) sunar.
Buildsystem içeriği
Buildsystem ekibi, sunulan paketleri değerlendirir (paket işleri sırasında, çözümlerde vb. hataları önlemek için) ve paketleri buildsystem içine teslim eder.
Buildsystem, daha sonra paketleri otomatik olarak derler.
Buildsystem ekibi, aynı zamanda sistem içine, QA için bir dizi YOU yama kaynakları oluşturan, bir meta yama da ekler.
QA
QA ekibi, oluşturulan bu yama kaynaklarını alır ve güncellemeyi müşterinin göreceği şekilde dener:
- Bütünleştirme denemesi
- Eğer güncelleme doğru çalışıyorsa ve sonrasında program çalışıyorsa.
- Bağlanım (regression) denemesi: Paket için var olan deneme senaryoları çalıştırılır ve bağlanımlar için denenir.
- Güvenlik denemesi: Sömürü, (varsa) güncellemeden önce ve sonra denenir. Öncesinde tekrar oluşturulabilir,
- ve sonrasındaysa tekrar oluşturulamaz olmalıdır.
Eğer, herşey geçerse, güncellemede QA onayı verilir.
Sürüm
Güvenlik ekibi, güncellemenin sürümü için onay verir (açıklanma zamanlarına dikkat ederek).
Güvenlik ekibi ayrıca güvenlik önerisi (security advisory)'ne daha büyük etkisi olan konular için yazar.
Diğer konular için, yaklaşık olarak her hafta bir özet rapor yayınlanmaktadır.