Nota: L'originale è più recente di questa traduzione.
Debian e la CVE compatibilityGli sviluppatori Debian sono consci della necessità di fornire informazioni precise ed aggiornate circa lo stato della sicurezza della distribuzione Debian, permettendo agli utenti di gestire i rischi legati a nuove vulnerabilità. Il progetto Common Vulnerabilities and Exposures (CVE) ci consente di fornire agli utenti i riferimenti standard necessari per consentirgli lo sviluppo di un sistema di gestione della sicurezza basato su CVE. CVE fornisce un elenco di nomi standardizzati per le vulnerabilità e per i rischi inerenti la sicurezza.
Il progetto Debian è convinto che sia estremamente importante fornire agli utenti informazioni correlate ai problemi di sicurezza che interessano la distribuzione Debian. L'inclusione dei nomi CVE negli avvisi aiuta gli utenti ad associare generiche vulnerabilità con specifici aggiornamenti Debian, riducendo quindi il tempo impiegato dai nostri utenti nella gestione delle vulnerabilità.
La disponibilità di riferimenti comuni per la sicurezza facilita anche la gestione della sicurezza in ambienti dove siano già impiegati strumenti per la sicurezza basati su CVE (come network o host intrusion detection system) o strumenti per la valutazione della vulnerabilità, siano o non siano essi basati sulla distribuzione Debian.
Il progetto Debian ha aggiunto i nomi CVE a tutti gli avvisi di sicurezza (DSA) rilasciati dal settembre 1998 tramite una revisione iniziata nell'agosto 2002. Tutti gli avvisi possono essere trovati nel sito web Debian e gli annunci di nuove vulnerabilità già includono i nomi CVE se disponibili al momento del loro rilascio. Gli avvisi collegati ad un dato nome CVE possono essere direttamente ricercati mediante il motore di ricerca.
Gli utenti che volessero ricercare un particolare nome CVE possono usare il motore di ricerca web disponibile in debian.org per trovare gli avvisi disponibili (sia in inglese che tradotti in altre lingue) associati al nome CVE. La ricerca può essere effettuata sia per un nome specifico (come advisory CAN-2002-0001) che per parti di nomi (come tutti i 2002 candidate inclusi negli avvisi advisory CAN-2002). Si noti che è sempre necessario inserire la parola advisory insieme al nome CVE per trovare solo gli avvisi di sicurezza.
Inoltre Debian fornisce una completa tabella di riferimenti incrociati comprendente tutti i riferimenti disponibili per tutti gli avvisi pubblicati dal 1997. Questa tabella è fornita per completare la mappa disponibile su CVE.
D: Qual è lo stato corrente di Debian nelle attività CVE?
Gli avvisi per la sicurezza Debian sono stati dichiarati CVE-Compatible il 24 febbraio 2004. Maggiori informazioni sono disponibili nel sito CVE, compreso il capability questionnaire.
D: Perché non si trova un certo nome CVE?
Si potrebbe non trovare un certo nome CVE negli avvisi pubblicati per uno dei seguenti motivi:
D: Qual'è la differenza tra una CVE entry ed una candidate?
(dal sito CVE)
CVE candidate sono quelle vulnerabilità o exposure che sono in fase di esame per l'accettazione nel CVE. Alle candidate sono assegnati nomi speciali per distinguerle dalle ufficiali CVE entry.
Alle candidate sono assegnati numeri speciali per distinguerle dalle CVE entry. Comunque quei numeri diverranno CVE entry se la candidate è accettata nel CVE. Per esempio, un numero candidate potrebbe essere CAN-1999-0067 ed il suo eventuale numero CVE potrebbe essere CVE-1999-0067. L'assegnazione di un numero candidate non garantisce il divenire un ufficiale CVE entry.
Il database degli avvisi pubblicati viene periodicamente rivisto per individuare quali candidate sono state accettate come CVE entry.
Per ulteriori informazioni si legga CVE Candidates explained.
D: Dove ottenere maggiori informazioni?
Per maggiori informazioni si visiti il sito web CVE.
