Charte de sécurité - 5. Envoi des notifications

Certains utilisateurs peuvent décider de ne pas mettre à jour leurs programmes très souvent. Pour s'assurer que ceux qui ont installé des paquets à partir du source utilisent le plus vite possible des paquets corrigés (dans le cas où ces paquets ont fait l'objet d'alertes de sécurité), le mainteneur du paquet peut demander à ce qu'une notification soit envoyée sur la liste de diffusion d'annonces de Fink.

5.1 Qui envoie les notifications ?

Ces annonces ne peuvent être faites que par dmalloc@users.sourceforge.net et signé avec une clé PGP dont l'empreinte est :

FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E.
située sur http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x7E24291E

C'est intentionnellement que le lien n'est pas marqué en tant que tel.

Autres membres autorisés : (ajoutez ici votre adresse email et votre clé publique comme je l'ai fait ci-dessus).

peter@pogma.com signé avec une clé PGP dont l'empreinte est :

4D67 1997 DD32 AE8E D7ED 9C79 8491 2AB7 DF3B 6004
située sur http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xDF3B6004

ranger@befunk.com signé avec une clé PGP dont l'empreinte est :

6401 D02A A35F 55E9 D7DD 71C5 52EF A366 D3F6 65FE
située sur http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD3F665FE

5.2 Comment les envoyer

Pour donner à toutes les notifications de sécurité un aspect semblable, elles devront toutes se conformer au modèle suivant :

NdT: c'est intentionnellement que le modèle n'est pas traduit, car toute notification de sécurité doit être envoyée en anglais.

 ID: FINK-YYYY-MMDD-NN 
Reported: YYYY-MM-DD 
Updated:  YYYY-MM-DD 
Package:  package-name
Affected: <= versionid
Maintainer: maintainer-name
Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
Mac OS X version: 10.3, 10.2 
Fix: patch|upstream 
Updated by: maintainer|forced update (Email)
Description: A short description describing the issue.
References: KEYWORD (see above) Ref-URL: URL

Exemple :

 ID:               FINK-2004-06-01
 Reported:         2004-06-09
 Updated:          2004-06-09
 Package:          cvs 
 Affected:             <= 1.11.16, <= 1.12.8
 Maintainer:       Sylvain Cuaz
 Tree(s):          10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable, 10.2-gcc3.3/unstable   
 Mac OS X version: 10.3, 10.2
 Fix:              upstream
 Updated by:       forced update (dmalloc@users.sourceforge.net)
 Description:      Multiple vulnerabilities in CVS found my ematters Security.
 References:       BID
 Ref-URL:       http://www.securityfocus.com/bid/10499
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
 References:       CVE
 Ref-URL:       http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
 References:       FULLDISCURL
 Ref-URL:       http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
 References:       MISC
 Ref-URL:       http://security.e-matters.de/advisories/092004.html

Notez que les mots clés Affected correspondent à toutes les versions vulnérables du logiciel et non pas aux seules versions empaquetées pour Fink. L'exemple ci-dessus le montre clairement.