--- title: "Информация об оповещениях об уязвимостях в безопасности FreeBSD" sidenav: support --- include::shared/authors.adoc[] = Информация об оповещениях об уязвимостях в безопасности FreeBSD == Содержание * <> * <> * <> * link:../#sup[Поддерживаемые релизы FreeBSD] * link:../unsupported[Неподдерживаемые выпуски FreeBSD] [[how]] == Как и куда сообщить о проблеме безопасности во FreeBSD Проблемы безопасности FreeBSD, относящиеся конкретно к операционной системе, следует сообщать mailto:secteam@FreeBSD.org[Команде безопасности FreeBSD] или, если требуется более высокий уровень конфиденциальности, отправлять зашифрованными PGP для mailto:security-officer@FreeBSD.org[Команды Директора по безопасности] с использованием link:../so_public_key.asc[PGP-ключа Директора по безопасности]. О проблемах безопасности FreeBSD, относящихся непосредственно к Коллекции портов, следует сообщать mailto:ports-secteam@FreeBSD.org[Команде безопасности портов FreeBSD]. Все сообщения должны содержать как минимум: * Описание уязвимости. * Какие версии FreeBSD, по-видимому, затронуты, если это возможно. * Любое возможное временное решение. * Пример кода, если это возможно. По возможности, также будет полезно включить предысторию, описание проблемы, воздействие и временное решение (если применимо), используя шаблоны для link:../advisory-template.txt[уведомлений о безопасности] и link:../errata-template.txt[уведомлений об ошибках], в зависимости от ситуации. После того как эта информация будет отправлена, с вами свяжется Директор по безопасности или представитель Команды безопасности. === Спам-фильтры Из-за большого объёма спама основные адреса электронной почты для контактов по безопасности подвергаются спам-фильтрации. Если вы не можете связаться с Директорами по безопасности или Командой безопасности FreeBSD из-за спам-фильтров (или подозреваете, что ваше письмо было отфильтровано), пожалуйста, отправьте письмо на адрес `security-officer-XXXX@FreeBSD.org`, заменив _XXXX_ на `3432`, вместо обычных адресов. Обратите внимание, что этот адрес будет периодически меняться, поэтому сверяйтесь с этой страницей для получения актуального адреса. Письма на этот адрес будут поступать в Команду Директора по безопасности FreeBSD. [[sec]] == Команда Директора по информационной безопасности FreeBSD и Команда безопасности FreeBSD Для того чтобы проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, письма, отправленные на почтовый псевдоним mailto:security-officer@FreeBSD.org[], в настоящее время доставляются следующим людям: [cols=",",] |=== |{gordon} |Директор по безопасности |{emaste} |Заместитель Директора по безопасности |{delphij} |Почётный Директор по безопасности |{des} |Почётный Директор по безопасности |=== Директора по безопасности поддерживает link:../../administration/#t-secteam[Команда безопасности FreeBSD], mailto:secteam@FreeBSD.org[] — небольшая группа коммиттеров, проверенных Директором по безопасности. [[pol]] == Политики обработки информации В качестве общей политики Директор по безопасности FreeBSD выступает за полное раскрытие информации об уязвимости после разумной задержки, позволяющей провести безопасный анализ и исправление уязвимости, а также соответствующее тестирование исправления и координацию с другими затронутыми сторонами. Директор по безопасности _будет_ уведомлять одного или нескольких администраторов кластеров FreeBSD об уязвимостях, которые создают непосредственную опасность для ресурсов проекта FreeBSD. Директор по безопасности может привлечь других разработчиков FreeBSD или сторонних разработчиков к обсуждению представленной уязвимости безопасности, если их опыт необходим для полного понимания или исправления проблемы. Будет проявлена соответствующая осмотрительность для минимизации ненужного распространения информации о представленной уязвимости, и любые привлечённые эксперты будут действовать в соответствии с политиками Директора по безопасности. В прошлом эксперты привлекались на основе большого опыта работы с особо сложными компонентами операционной системы, включая FFS, систему виртуальной памяти и сетевой стек. Если идёт подготовки релиза версии FreeBSD, инженер по подготовке релиза FreeBSD также может быть уведомлен о существовании уязвимости и её серьезности, чтобы можно было принимать обоснованные решения относительно цикла выпуска и любых критичных ошибок безопасности в программном обеспечении, связанном с предстоящим выпуском. По запросу офицер по безопасности не будет делиться информацией о характере уязвимости с инженером по подготовке релиза, ограничивая поток информации фактом существования и критичностью. Директор по безопасности FreeBSD имеет тесные рабочие отношения с рядом других организаций, включая сторонних поставщиков, которые используют общий код с FreeBSD (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие вендоры, использующие программное обеспечение от FreeBSD, а также список безопасности вендоров Linux), а также организации, которые отслеживают уязвимости и инциденты безопасности, такие как CERT. Часто уязвимости могут выходить за рамки реализации FreeBSD и (возможно, реже) иметь широкие последствия для мирового сетевого сообщества. В таких обстоятельствах Директор по безопасности может пожелать раскрыть информацию об уязвимости этим другим организациям: если вы не хотите, чтобы Директор по безопасности делал это, пожалуйста, явно укажите это в любых отправляемых материалах. Отправители должны тщательно и явно документировать любые особые требования к обработке информации. Если отправитель информации об уязвимости заинтересован в согласованном процессе раскрытия информации с участием отправителя и/или других вендоров, это следует явно указать в любых отправляемых материалах. При отсутствии явных запросов Директор по безопасности FreeBSD выберет график раскрытия информации, который отражает как стремление к своевременному раскрытию, так и соответствующее тестирование любых решений. Отправители должны знать, что если уязвимость активно обсуждается на публичных форумах (таких как bugtraq) и активно используется, Директор по безопасности может отказаться от следования предложенному графику раскрытия информации, чтобы обеспечить максимальную защиту сообщества пользователей. Отправляемые материалы могут быть защищены с помощью PGP. При желании ответы также будут защищены с помощью PGP.