1 .. SPDX-License-Identifier: GPL-2.0
2 .. include:: ../disclaimer-sp.rst
3
4 :Original: Documentation/process/embargoed-har
5 :Translator: Avadhut Naik <avadhut.naik@amd.com
6
7 Problemas de hardware embargados
8 ================================
9
10 Alcance
11 -------
12
13 Los problemas de hardware que resultan en prob
14 categoría diferente de errores de seguridad q
15 puro que solo afectan al kernel de Linux.
16
17 Los problemas de hardware como Meltdown, Spect
18 tratarse de manera diferente porque usualmente
19 sistemas operativos (“OS”) y, por lo tanto
20 vendedores diferentes de OS, distribuciones, v
21 otras partes. Para algunos de los problemas, l
22 pueden depender de actualizaciones de microcó
23 necesitan una coordinación adicional.
24
25 .. _Contacto:
26
27 Contacto
28 --------
29
30 El equipo de seguridad de hardware del kernel
31 equipo regular de seguridad del kernel de Linu
32
33 El equipo solo maneja la coordinación de los
34 hardware embargados. Los informes de errores d
35 en el kernel de Linux no son manejados por est
36 (quien informa del error) será guiado a conta
37 del kernel de Linux (:doc:`errores de segurida
38 lugar.
39
40 El equipo puede contactar por correo electrón
41 <hardware-security@kernel.org>. Esta es una lis
42 seguridad que lo ayudarán a coordinar un prob
43 proceso documentado.
44
45 La lista esta encriptada y el correo electrón
46 enviado por PGP o S/MIME encriptado y debe est
47 PGP del reportero o el certificado de S/MIME.
48 certificado de S/MIME de la lista están dispo
49 URLs:
50
51 - PGP: https://www.kernel.org/static/files/h
52 - S/MIME: https://www.kernel.org/static/file
53
54 Si bien los problemas de seguridad del hardwar
55 el vendedor de hardware afectado, damos la bie
56 investigadores o individuos que hayan identifi
57 hardware.
58
59 Oficiales de seguridad de hardware
60 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
61
62 El equipo actual de oficiales de seguridad de
63
64 - Linus Torvalds (Linux Foundation Fellow)
65 - Greg Kroah-Hartman (Linux Foundation Fello
66 - Thomas Gleixner (Linux Foundation Fellow)
67
68 Operación de listas de correo
69 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
70
71 Las listas de correo encriptadas que se utiliz
72 alojados en la infraestructura de IT de la Fun
73 este servicio, los miembros del personal de op
74 Fundación Linux técnicamente tienen la capac
75 información embargada, pero están obligados
76 contrato de trabajo. El personal de IT de la F
77 responsable para operar y administrar el resto
78 kernel.org.
79
80 El actual director de infraestructura de proye
81 Linux es Konstantin Ryabitsev.
82
83 Acuerdos de no divulgación
84 --------------------------
85
86 El equipo de seguridad de hardware del kernel
87 formal y, por lo tanto, no puede firmar cualqu
88 divulgación. La comunidad del kernel es consc
89 delicada de tales problemas y ofrece un Memora
90 lugar.
91
92 Memorando de Entendimiento
93 --------------------------
94
95 La comunidad del kernel de Linux tiene una com
96 requisito de mantener los problemas de segurid
97 para la coordinación entre diferentes vendedo
98 vendedores de hardware y otras partes.
99
100 La comunidad del kernel de Linux ha manejado c
101 seguridad del hardware en el pasado y tiene lo
102 permitir el desarrollo compatible con la comun
103 embargo.
104
105 La comunidad del kernel de Linux tiene un equi
106 dedicado para el contacto inicial, el cual sup
107 de tales problemas bajo las reglas de embargo.
108
109 El equipo de seguridad de hardware identifica
110 (expertos en dominio) que formarán el equipo
111 problema en particular. El equipo de respuesta
112 más desarrolladores (expertos en dominio) par
113 mejor manera técnica.
114
115 Todos los desarrolladores involucrados se comp
116 reglas del embargo y a mantener confidencial l
117 violación de la promesa conducirá a la exclu
118 actual y la eliminación de todas las listas d
119 Además, el equipo de seguridad de hardware ta
120 delincuente de problemas futuros. El impacto d
121 elemento de disuasión altamente efectivo en n
122 que ocurra una violación, el equipo de seguri
123 las partes involucradas inmediatamente. Si ust
124 conocimiento de una posible violación, por fa
125 a los oficiales de seguridad de hardware.
126
127 Proceso
128 ^^^^^^^
129
130 Debido a la naturaleza distribuida globalmente
131 de Linux, las reuniones cara a cara hacen impo
132 problemas de seguridad del hardware. Las confe
133 difíciles de coordinar debido a las zonas hor
134 solo deben usarse cuando sea absolutamente nec
135 electrónico encriptado ha demostrado ser el m
136 efectivo y seguro para estos tipos de problema
137
138 Inicio de la divulgación
139 """"""""""""""""""""""""
140
141 La divulgación comienza contactado al equipo
142 kernel de Linux por correo electrónico. Este
143 contener una descripción del problema y una l
144 afectado conocido. Si su organización fabrica
145 afectado, le animamos a considerar también qu
146 afectado.
147
148 El equipo de seguridad de hardware proporciona
149 encriptada específica para el incidente que s
150 inicial con el reportero, la divulgación adic
151
152 El equipo de seguridad de hardware proporciona
153 lista de desarrolladores (expertos de dominios
154 inicialmente sobre el problema después de con
155 desarrolladores que se adherirán a este Memor
156 proceso documentado. Estos desarrolladores for
157 inicial y serán responsables de manejar el pr
158 inicial. El equipo de seguridad de hardware ap
159 respuesta, pero no necesariamente involucrando
160 de mitigación.
161
162 Si bien los desarrolladores individuales puede
163 acuerdo de no divulgación a través de su emp
164 acuerdos individuales de no divulgación en su
165 del kernel de Linux. Sin embargo, aceptarán a
166 documentado y al Memorando de Entendimiento.
167
168 La parte reveladora debe proporcionar una list
169 las demás entidades ya que han sido, o deber
170 problema. Esto sirve para varios propósitos:
171
172 - La lista de entidades divulgadas permite la
173 industria, por ejemplo, otros vendedores de
174
175 - Las entidades divulgadas pueden ser contact
176 que deben participar en el desarrollo de la
177
178 - Si un experto que se requiere para manejar
179 una entidad cotizada o un miembro de una en
180 de respuesta pueden solicitar la divulgaci
181 entidad. Esto asegura que el experto tambi
182 respuesta de la entidad.
183
184 Divulgación
185 """""""""""
186
187 La parte reveladora proporcionará informació
188 respuesta inicial a través de la lista de cor
189
190 Según nuestra experiencia, la documentación
191 suele ser un punto de partida suficiente y es
192 técnicas adicionales a través del correo ele
193
194 Desarrollo de la mitigación
195 """""""""""""""""""""""""""
196
197 El equipo de respuesta inicial configura una l
198 reutiliza una existente si es apropiada.
199
200 El uso de una lista de correo está cerca del
201 de Linux y se ha utilizado con éxito en el de
202 varios problemas de seguridad de hardware en e
203
204 La lista de correo funciona en la misma manera
205 Linux. Los parches se publican, discuten y rev
206 aplican a un repositorio git no público al qu
207 desarrolladores participantes a través de una
208 repositorio contiene la rama principal de desa
209 el kernel principal y las ramas backport para
210 kernel según sea necesario.
211
212 El equipo de respuesta inicial identificará a
213 comunidad de desarrolladores del kernel de Lin
214 incorporación de expertos puede ocurrir en cu
215 de desarrollo y debe manejarse de manera oport
216
217 Si un experto es empleado por o es miembro de
218 divulgación proporcionada por la parte revela
219 la participación de la entidad pertinente.
220
221 Si no es así, entonces se informará a la par
222 participación de los expertos. Los expertos e
223 Memorando de Entendimiento y se solicita a la
224 reconozca la participación. En caso de que la
225 razón convincente para objetar, entonces esta
226 dentro de los cinco días laborables y resolve
227 incidente inmediatamente. Si la parte revelado
228 los cinco días laborables, esto se toma como
229
230 Después del reconocimiento o la resolución d
231 revelado por el equipo de incidente y se incor
232 desarrollo.
233
234 Lanzamiento coordinado
235 """"""""""""""""""""""
236
237 Las partes involucradas negociarán la fecha y
238 embargo. En ese momento, las mitigaciones prep
239 árboles de kernel relevantes y se publican.
240
241 Si bien entendemos que los problemas de seguri
242 un tiempo de embargo coordinado, el tiempo de
243 tiempo mínimo que se requiere para que todas
244 desarrollen, prueben y preparen las mitigacion
245 embargo artificialmente para cumplir con las f
246 conferencia u otras razones no técnicas está
247 para los desarrolladores y los equipos de resp
248 los parches necesitan mantenerse actualizados
249 curso del kernel upstream, lo cual podría cre
250
251 Asignación de CVE
252 """""""""""""""""
253
254 Ni el equipo de seguridad de hardware ni el eq
255 asignan CVEs, ni se requieren para el proceso
256 son proporcionados por la parte reveladora, pu
257 documentación.
258
259 Embajadores del proceso
260 -----------------------
261
262 Para obtener asistencia con este proceso, hemo
263 en varias organizaciones, que pueden responder
264 orientación sobre el proceso de reporte y el
265 embajadores no están involucrados en la divul
266 particular, a menos que lo solicite un equipo
267 revelada involucrada. La lista de embajadores
268
269 ============= ==============================
270 AMD Tom Lendacky <thomas.lendacky@a
271 Ampere Darren Hart <darren@os.ampereco
272 ARM Catalin Marinas <catalin.marina
273 IBM Power Anton Blanchard <anton@linux.ib
274 IBM Z Christian Borntraeger <borntrae
275 Intel Tony Luck <tony.luck@intel.com>
276 Qualcomm Trilok Soni <quic_tsoni@quicinc
277 Samsung Javier González <javier.gonz@s
278
279 Microsoft James Morris <jamorris@linux.mi
280 Xen Andrew Cooper <andrew.cooper3@c
281
282 Canonical John Johansen <john.johansen@ca
283 Debian Ben Hutchings <ben@decadent.org
284 Oracle Konrad Rzeszutek Wilk <konrad.w
285 Red Hat Josh Poimboeuf <jpoimboe@redhat
286 SUSE Jiri Kosina <jkosina@suse.cz>
287
288 Google Kees Cook <keescook@chromium.or
289
290 LLVM Nick Desaulniers <ndesaulniers@
291 ============= ==============================
292
293 Si quiere que su organización se añada a la
294 favor póngase en contacto con el equipo de se
295 embajador nominado tiene que entender y apoyar
296 completamente y está idealmente bien conectad
297 de Linux.
298
299 Listas de correo encriptadas
300 ----------------------------
301
302 Usamos listas de correo encriptadas para la co
303 funcionamiento de estas listas es que el corre
304 lista se encripta con la llave PGP de la lista
305 de la lista. El software de lista de correo de
306 y lo vuelve a encriptar individualmente para c
307 PGP del suscriptor o el certificado S/MIME. Lo
308 de la lista de correo y la configuración que
309 seguridad de las listas y la protección de lo
310 aquí: https://korg.wiki.kernel.org/userdoc/re
311
312 Llaves de lista
313 ^^^^^^^^^^^^^^^
314
315 Para el contacto inicial, consulte :ref:`Conta
316 correo especificas de incidentes, la llave y e
317 envían a los suscriptores por correo electró
318 especifica.
319
320 Suscripción a listas específicas de incident
321 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
322
323 La suscripción es manejada por los equipos de
324 reveladas que quieren participar en la comunic
325 suscriptores potenciales al equipo de respuest
326 respuesta pueda validar las solicitudes de sus
327
328 Cada suscriptor necesita enviar una solicitud
329 respuesta por correo electrónico. El correo e
330 con la llave PGP del suscriptor o el certifica
331 llave PGP, debe estar disponible desde un serv
332 idealmente conectada a la red de confianza PGP
333 también: https://www.kernel.org/signature.htm
334
335 El equipo de respuesta verifica que la solicit
336 y añade al suscriptor a la lista. Después de
337 recibirá un correo electrónico de la lista q
338 PGP de la lista o el certificado S/MIME de la
339 electrónico del suscriptor puede extraer la l
340 S/MIME de la firma, de modo que el suscriptor
341 electrónico encriptado a la lista.
Linux® is a registered trademark of Linus Torvalds in the United States and other countries.
TOMOYO® is a registered trademark of NTT DATA CORPORATION.