Book a Demo!
CoCalc Logo Icon
StoreFeaturesDocsShareSupportNewsAboutPoliciesSign UpSign In
freebsd
GitHub Repository: freebsd/freebsd-doc
 Path: blob/main/website/content/ru/security/reporting.adoc
18093 views
---
title: "Информация об оповещениях об уязвимостях в безопасности FreeBSD"
sidenav: support
---

include::shared/authors.adoc[]

= Информация об оповещениях об уязвимостях в безопасности FreeBSD

== Содержание

* <<how,Как и куда сообщить о проблеме безопасности в FreeBSD>>
* <<sec,Информация о Директоре по информационной безопасности FreeBSD>>
* <<pol,Политики обработки информации>>
* link:../#sup[Поддерживаемые релизы FreeBSD]
* link:../unsupported[Неподдерживаемые выпуски FreeBSD]

[[how]]
== Как и куда сообщить о проблеме безопасности во FreeBSD

Проблемы безопасности FreeBSD, относящиеся конкретно к операционной системе, следует сообщать mailto:[email protected][Команде безопасности FreeBSD] или, если требуется более высокий уровень конфиденциальности, отправлять зашифрованными PGP для mailto:[email protected][Команды Директора по безопасности] с использованием link:../so_public_key.asc[PGP-ключа Директора по безопасности].

О проблемах безопасности FreeBSD, относящихся непосредственно к Коллекции портов, следует сообщать  mailto:[email protected][Команде безопасности портов FreeBSD].

Все сообщения должны содержать как минимум:

* Описание уязвимости.
* Какие версии FreeBSD, по-видимому, затронуты, если это возможно.
* Любое возможное временное решение.
* Пример кода, если это возможно.

По возможности, также будет полезно включить предысторию, описание проблемы, воздействие и временное решение (если применимо), используя шаблоны для link:../advisory-template.txt[уведомлений о безопасности] и link:../errata-template.txt[уведомлений об ошибках], в зависимости от ситуации.

После того как эта информация будет отправлена, с вами свяжется Директор по безопасности или представитель Команды безопасности.

=== Спам-фильтры

Из-за большого объёма спама основные адреса электронной почты для контактов по безопасности подвергаются спам-фильтрации. Если вы не можете связаться с Директорами по безопасности или Командой безопасности FreeBSD из-за спам-фильтров (или подозреваете, что ваше письмо было отфильтровано), пожалуйста, отправьте письмо на адрес `[email protected]`, заменив _XXXX_ на `3432`, вместо обычных адресов. Обратите внимание, что этот адрес будет периодически меняться, поэтому сверяйтесь с этой страницей для получения актуального адреса. Письма на этот адрес будут поступать в Команду Директора по безопасности FreeBSD.

[[sec]]
== Команда Директора по информационной безопасности FreeBSD и Команда безопасности FreeBSD

Для того чтобы проект FreeBSD мог оперативно реагировать на сообщения об уязвимостях, письма, отправленные на почтовый псевдоним mailto:[email protected][<[email protected]>], в настоящее время доставляются следующим людям:

[cols=",",]
|===
|{gordon} |Директор по безопасности
|{emaste} |Заместитель Директора по безопасности
|{delphij} |Почётный Директор по безопасности
|{des} |Почётный Директор по безопасности
|===

Директора по безопасности поддерживает link:../../administration/#t-secteam[Команда безопасности FreeBSD], mailto:[email protected][<[email protected]>] — небольшая группа коммиттеров, проверенных Директором по безопасности.

[[pol]]
== Политики обработки информации

В качестве общей политики Директор по безопасности FreeBSD выступает за полное раскрытие информации об уязвимости после разумной задержки, позволяющей провести безопасный анализ и исправление уязвимости, а также соответствующее тестирование исправления и координацию с другими затронутыми сторонами.

Директор по безопасности _будет_ уведомлять одного или нескольких администраторов кластеров FreeBSD об уязвимостях, которые создают непосредственную опасность для ресурсов проекта FreeBSD.

Директор по безопасности может привлечь других разработчиков FreeBSD или сторонних разработчиков к обсуждению представленной уязвимости безопасности, если их опыт необходим для полного понимания или исправления проблемы. Будет проявлена соответствующая осмотрительность для минимизации ненужного распространения информации о представленной уязвимости, и любые привлечённые эксперты будут действовать в соответствии с политиками Директора по безопасности. В прошлом эксперты привлекались на основе большого опыта работы с особо сложными компонентами операционной системы, включая FFS, систему виртуальной памяти и сетевой стек.

Если идёт подготовки релиза версии FreeBSD, инженер по подготовке релиза FreeBSD также может быть уведомлен о существовании уязвимости и её серьезности, чтобы можно было принимать обоснованные решения относительно цикла выпуска и любых критичных ошибок безопасности в программном обеспечении, связанном с предстоящим выпуском. По запросу офицер по безопасности не будет делиться информацией о характере уязвимости с инженером по подготовке релиза, ограничивая поток информации фактом существования и критичностью.

Директор по безопасности FreeBSD имеет тесные рабочие отношения с рядом других организаций, включая сторонних поставщиков, которые используют общий код с FreeBSD (проекты OpenBSD, NetBSD и DragonFlyBSD, Apple и другие вендоры, использующие программное обеспечение от FreeBSD, а также список безопасности вендоров Linux), а также организации, которые отслеживают уязвимости и инциденты безопасности, такие как CERT. Часто уязвимости могут выходить за рамки реализации FreeBSD и (возможно, реже) иметь широкие последствия для мирового сетевого сообщества. В таких обстоятельствах Директор по безопасности может пожелать раскрыть информацию об уязвимости этим другим организациям: если вы не хотите, чтобы Директор по безопасности делал это, пожалуйста, явно укажите это в любых отправляемых материалах.

Отправители должны тщательно и явно документировать любые особые требования к обработке информации.

Если отправитель информации об уязвимости заинтересован в согласованном процессе раскрытия информации с участием отправителя и/или других вендоров, это следует явно указать в любых отправляемых материалах. При отсутствии явных запросов Директор по безопасности FreeBSD выберет график раскрытия информации, который отражает как стремление к своевременному раскрытию, так и соответствующее тестирование любых решений. Отправители должны знать, что если уязвимость активно обсуждается на публичных форумах (таких как bugtraq) и активно используется, Директор по безопасности может отказаться от следования предложенному графику раскрытия информации, чтобы обеспечить максимальную защиту сообщества пользователей.

Отправляемые материалы могут быть защищены с помощью PGP. При желании ответы также будут защищены с помощью PGP.