~ [ source navigation ] ~ [ diff markup ] ~ [ identifier search ] ~

TOMOYO Linux Cross Reference
Linux/Documentation/translations/zh_TW/admin-guide/security-bugs.rst

Version: ~ [ linux-6.12-rc7 ] ~ [ linux-6.11.7 ] ~ [ linux-6.10.14 ] ~ [ linux-6.9.12 ] ~ [ linux-6.8.12 ] ~ [ linux-6.7.12 ] ~ [ linux-6.6.60 ] ~ [ linux-6.5.13 ] ~ [ linux-6.4.16 ] ~ [ linux-6.3.13 ] ~ [ linux-6.2.16 ] ~ [ linux-6.1.116 ] ~ [ linux-6.0.19 ] ~ [ linux-5.19.17 ] ~ [ linux-5.18.19 ] ~ [ linux-5.17.15 ] ~ [ linux-5.16.20 ] ~ [ linux-5.15.171 ] ~ [ linux-5.14.21 ] ~ [ linux-5.13.19 ] ~ [ linux-5.12.19 ] ~ [ linux-5.11.22 ] ~ [ linux-5.10.229 ] ~ [ linux-5.9.16 ] ~ [ linux-5.8.18 ] ~ [ linux-5.7.19 ] ~ [ linux-5.6.19 ] ~ [ linux-5.5.19 ] ~ [ linux-5.4.285 ] ~ [ linux-5.3.18 ] ~ [ linux-5.2.21 ] ~ [ linux-5.1.21 ] ~ [ linux-5.0.21 ] ~ [ linux-4.20.17 ] ~ [ linux-4.19.323 ] ~ [ linux-4.18.20 ] ~ [ linux-4.17.19 ] ~ [ linux-4.16.18 ] ~ [ linux-4.15.18 ] ~ [ linux-4.14.336 ] ~ [ linux-4.13.16 ] ~ [ linux-4.12.14 ] ~ [ linux-4.11.12 ] ~ [ linux-4.10.17 ] ~ [ linux-4.9.337 ] ~ [ linux-4.4.302 ] ~ [ linux-3.10.108 ] ~ [ linux-2.6.32.71 ] ~ [ linux-2.6.0 ] ~ [ linux-2.4.37.11 ] ~ [ unix-v6-master ] ~ [ ccs-tools-1.8.12 ] ~ [ policy-sample ] ~
Architecture: ~ [ i386 ] ~ [ alpha ] ~ [ m68k ] ~ [ mips ] ~ [ ppc ] ~ [ sparc ] ~ [ sparc64 ] ~ 
  1 .. SPDX-License-Identifier: GPL-2.0
  2 
  3 .. include:: ../disclaimer-zh_TW.rst
  4 
  5 :Original: :doc:`../../../process/security-bugs`
  6 
  7 :譯者:
  8 
  9  吳想成 Wu XiangCheng <bobwxc@email.cn>
 10  胡皓文 Hu Haowen <2023002089@link.tyut.edu.cn>
 11 
 12 安全缺陷
 13 =========
 14 
 15 Linux內核開發人員非常重視安全性。因此我們想知道何時發現了安全漏洞,以便儘快
 16 修復和披露。請向Linux內核安全團隊報告安全漏洞。
 17 
 18 聯絡
 19 -----
 20 
 21 可以通過電子郵件<security@kernel.org>聯繫Linux內核安全團隊。這是一個安全人員
 22 的私有列表,他們將幫助驗證錯誤報告並開發和發佈修復程序。如果您已經有了一個
 23 修復,請將其包含在您的報告中,這樣可以大大加快進程。安全團隊可能會從區域維護
 24 人員那裏獲得額外的幫助,以理解和修復安全漏洞。
 25 
 26 與任何缺陷一樣,提供的信息越多,診斷和修復就越容易。如果您不清楚哪些信息有用,
 27 請查看“Documentation/translations/zh_CN/admin-guide/reporting-issues.rst”中
 28 概述的步驟。任何利用漏洞的攻擊代碼都非常有用,未經報告者同意不會對外發布,除
 29 非已經公開。
 30 
 31 請儘可能發送無附件的純文本電子郵件。如果所有的細節都藏在附件裏,那麼就很難對
 32 一個複雜的問題進行上下文引用的討論。把它想象成一個
 33 :doc:`常規的補丁提交 <../process/submitting-patches>` (即使你還沒有補丁):
 34 描述問題和影響,列出復現步驟,然後給出一個建議的解決方案,所有這些都是純文本的。
 35 
 36 披露和限制信息
 37 ---------------
 38 
 39 安全列表不是公開渠道。爲此,請參見下面的協作。
 40 
 41 一旦開發出了健壯的補丁,發佈過程就開始了。對公開的缺陷的修復會立即發佈。
 42 
 43 儘管我們傾向於在未公開缺陷的修復可用時即發佈補丁,但應報告者或受影響方的請求,
 44 這可能會被推遲到發佈過程開始後的7日內,如果根據缺陷的嚴重性需要更多的時間,
 45 則可額外延長到14天。推遲發佈修復的唯一有效原因是爲了適應QA的邏輯和需要發佈
 46 協調的大規模部署。
 47 
 48 雖然可能與受信任的個人共享受限信息以開發修復,但未經報告者許可,此類信息不會
 49 與修復程序一起發佈或發佈在任何其他披露渠道上。這包括但不限於原始錯誤報告和
 50 後續討論(如有)、漏洞、CVE信息或報告者的身份。
 51 
 52 換句話說,我們唯一感興趣的是修復缺陷。提交給安全列表的所有其他資料以及對報告
 53 的任何後續討論,即使在解除限制之後,也將永久保密。
 54 
 55 協調
 56 ------
 57 
 58 對敏感缺陷(例如那些可能導致權限提升的缺陷)的修復可能需要與私有郵件列表
 59 <linux-distros@vs.openwall.org>進行協調,以便分發供應商做好準備,在公開披露
 60 上游補丁時發佈一個已修復的內核。發行版將需要一些時間來測試建議的補丁,通常
 61 會要求至少幾天的限制,而供應商更新發布更傾向於週二至週四。若合適,安全團隊
 62 可以協助這種協調,或者報告者可以從一開始就包括linux發行版。在這種情況下,請
 63 記住在電子郵件主題行前面加上“[vs]”,如linux發行版wiki中所述:
 64 <http://oss-security.openwall.org/wiki/mailing-lists/distros#how-to-use-the-lists>。
 65 
 66 CVE分配
 67 --------
 68 
 69 安全團隊通常不分配CVE,我們也不需要它們來進行報告或修復,因爲這會使過程不必
 70 要的複雜化,並可能耽誤缺陷處理。如果報告者希望在公開披露之前分配一個CVE編號,
 71 他們需要聯繫上述的私有linux-distros列表。當在提供補丁之前已有這樣的CVE編號時,
 72 如報告者願意,最好在提交消息中提及它。
 73 
 74 保密協議
 75 ---------
 76 
 77 Linux內核安全團隊不是一個正式的機構實體,因此無法簽訂任何保密協議。
 78
~ [ source navigation ] ~ [ diff markup ] ~ [ identifier search ] ~
kernel.org | git.kernel.org | LWN.net | Project Home | SVN repository | Mail admin

Linux® is a registered trademark of Linus Torvalds in the United States and other countries.
TOMOYO® is a registered trademark of NTT DATA CORPORATION.

sflogo.php