diff options
Diffstat (limited to 'xml/htdocs/security/it/bug-searching.xml')
| -rw-r--r-- | xml/htdocs/security/it/bug-searching.xml | 184 |
1 files changed, 184 insertions, 0 deletions
diff --git a/xml/htdocs/security/it/bug-searching.xml b/xml/htdocs/security/it/bug-searching.xml new file mode 100644 index 00000000..3ec3b1a1 --- /dev/null +++ b/xml/htdocs/security/it/bug-searching.xml @@ -0,0 +1,184 @@ +<?xml version='1.0' encoding="UTF-8"?> +<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/bug-searching.xml,v 1.3 2009/10/19 20:47:23 scen Exp $ --> +<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> + +<guide link="/security/it/bug-searching.xml" lang="it"> +<title>Suggerimenti per la ricerca e l'identificazione di bug di +sicurezza</title> + +<author title="Autore"> + <mail link="klieber@gentoo.org">Kurt Lieber</mail> +</author> +<author title="Autore"> + <mail link="rbu@gentoo.org">Robert Buchholz</mail> +</author> +<author title="Traduzione"> + <mail link="dungeon01@gmail.com">Dungeon01</mail> +</author> +<author title="Traduzione"> + <mail link="scen"/> +</author> + +<abstract> +Questo documento fornisce le linee guida ed i suggerimenti per migliorare +l'identificazione dei bug inerenti alla sicurezza in bugzilla +</abstract> + +<license/> + +<version>1.2</version> +<date>2009-04-14</date> + +<chapter> +<title>Ricerca dei Bug</title> +<section> +<title>Tutti i bug di Sicurezza</title> +<body> + +<p> +Per identificare tutti i bug inerenti alla sicurezza, utilizzare la <uri +link="https://bugs.gentoo.org/query.cgi">pagina</uri> di ricerca di bugzilla, ed +impostare i seguenti campi: +</p> + +<ul> + <li><b>Product:</b> selezionare "Vulnerabilities"</li> + <li> + <b>Status:</b> impostare questo campo con il tipo di bug che si sta cercando + (es.: bug chiusi, bug aperti, etc.) + </li> +</ul> + +<p> +Questo vi darà una lista di tutti i bug aperti nel nostro sistema (o almeno +quelli correttamente assegnati). È possibile impostare la query in modo da +visualizzare solamente le Vulnerabilità ("Vulnerabilities"), problemi del +Kernel ("Kernel issues"), o altri sottoinsiemi dei bug di Sicurezza, impostando +la voce <b>Component</b>. +</p> + +</body> +</section> +<section> +<title>Contrassegnare come "stable" i bug per una determinata architettura +</title> +<body> + +<p> +Quando ad un pacchetto è stata applicata una patch, solitamente questi deve +essere testato prima di venir contrassegnato come stabile per le architetture +interessate. Per identificare tutti i bug dove una architettura necessita di +contrassegnare un pacchetto come stable, utilizzare la pagina di <uri +link="https://bugs.gentoo.org/query.cgi">ricerca</uri> e compilare i seguenti +campi: +</p> + +<ul> + <li><b>Product:</b> selezionare "Gentoo Security"</li> + <li> + <b>Status:</b> impostarlo a "New", "Assigned" o "Reopened" (in pratica: non + cercare i bug che sono già stati chiusi) + </li> + <li> + <b>Email and Numbering:</b> Uno qualunque dei campi "CC list member" + dovrebbe essere impostato a: "contains <arch>@gentoo.org" + </li> +</ul> + +<p> +Quando un pacchetto viene patchato e richiede di essere testato, il Security +Team metterà in CC gli staff di tutte le principali architetture relative a quel +particolare bug e richiederà loro che testino e contrassegnino il pacchetto come +stabile per l'architettura di loro competenza. Quindi, usando il metodo di +ricerca descritto precedentemente, sarà possibile vedere facilmente quali bug +richiedono attenzione per una particolare architettura. +</p> + +<impo> +Per rendere questo rapporto efficace, è molto importante che i team delle varie +architetture si ricordino di rimuoversi dalla lista di cc una volta che il +pacchetto è stato resto stabile. +</impo> + +<note> +Per architetture non supportate, i bug possono essere chiusi senza che il +pacchetto venga segnato come stabile per quella particolare architettura. +Quindi, gli sviluppatori per queste architetture possono voler includere i bug +chiusi nelle loro interrogazioni (per meglio comprendere la differenza fra +"supportato" e "non supportato", si rimanda alla <uri +link="/security/it/vulnerability-policy.xml"> Politica sul trattamento delle +Vulnerabilità</uri>, +</note> + +<p> +I Referenti per la Sicurezza dell'Architettura avranno bisogno di ulteriori +interrogazioni per individuare i bug che richiedono la loro partecipazione. Tali +bug potrebbero essere per esempio classificati come <c>SEMI-PUBLIC</c> i quali +richiedono di essere marcati come stabili nell'albero di Portage, oppure +classificati come <c>CONFIDENTIAL</c>, i quali hanno una fase di test precedente +alla stabilizzazione solamente in Bugzilla. Per ottenere una lista di questi +bug, usare la pagina di <uri +link="https://bugs.gentoo.org/query.cgi">ricerca</uri> ed impostare i campi +seguenti: +</p> + +<ul> + <li><b>Product:</b> selezionare "Gentoo Security"</li> + <li> + <b>Status:</b> impostarlo a "New", "Assigned" e "Reopened" (in pratica: non + cercare i bug che sono già stati chiusi) + </li> + <li> + <b>Email and Numbering:</b> Uno qualunque dei campi "CC list member" + dovrebbe essere impostato a "contains <login>@gentoo.org" dove + <login> è il nome utente Gentoo del Referente. + </li> + <li> + <b>Advanced Searching Using Boolean Charts:</b> "Group" dovrebbe essere + impostato a "is equal to" e il campo di input dovrebbe essere valorizzato a + "Security" + </li> +</ul> + +</body> +</section> +<section> +<title>Interrogazioni su Bugzilla che potrebbero tornare utili</title> +<body> + +<p> +I membri del Team di Sicurezza di Gentoo e i Padawan troveranno molto utili le +seguenti query. Escludendo i falsi positivi, i bug elencati in queste +interrogazioni richiedono l'attenzione del Team di Sicurezza. +</p> + +<ul> + <li> + <uri + link="https://bugs.gentoo.org/buglist.cgi?query_format=advanced&short_desc_type=allwordssubstr&short_desc=&product=Gentoo+Security&component=Auditing&component=Default+Configs&component=GLSA+Errors&component=Kernel&component=Runpath+Issues&component=Vulnerabilities&long_desc_type=substring&long_desc=&bug_file_loc_type=allwordssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&status_whiteboard=stable&keywords_type=allwords&keywords=&bug_status=NEW&bug_status=ASSIGNED&bug_status=REOPENED&emailtype1=regexp&email1=&emailassigned_to2=1&emailreporter2=1&emailcc2=1&emailtype2=substring&email2=&bugidtype=include&bug_id=&votes=&chfieldfrom=&chfieldto=Now&chfieldvalue=&cmdtype=doit&order=Reuse+same+sort+as+last+time&query_based_on=stale+stable&negate0=1&field0-0-0=cc&type0-0-0=substring&value0-0-0=amd64%40gentoo.org&negate1=1&field1-0-0=cc&type1-0-0=substring&value1-0-0=x86%40gentoo.org&negate2=1&field2-0-0=cc&type2-0-0=substring&value2-0-0=ppc%40gentoo.org&negate3=1&field3-0-0=cc&type3-0-0=substring&value3-0-0=sparc%40gentoo.org&negate4=1&field4-0-0=cc&type4-0-0=substring&value4-0-0=alpha%40gentoo.org&negate5=1&field5-0-0=cc&type5-0-0=substring&value5-0-0=hppa%40gentoo.org&negate6=1&field6-0-0=cc&type6-0-0=substring&value6-0-0=ppc64%40gentoo.org"> + Stabilizzazione caduta in prescrizione</uri>, visualizza tutti i bug aperti + che hanno "[stable]" nel campo Whiteboard, ma nessuna architettura in CC. + </li> + <li> + <uri + link="https://bugs.gentoo.org/buglist.cgi?query_format=advanced&short_desc_type=allwordssubstr&short_desc=&product=Gentoo+Security&long_desc_type=substring&long_desc=&bug_file_loc_type=allwordssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&status_whiteboard=glsa%3F&keywords_type=allwords&keywords=&bug_status=NEW&bug_status=ASSIGNED&bug_status=REOPENED&emailassigned_to1=1&emailtype1=substring&email1=&emailassigned_to2=1&emailreporter2=1&emailcc2=1&emailtype2=substring&email2=&bugidtype=include&bug_id=&votes=&chfieldfrom=&chfieldto=Now&chfieldvalue=&cmdtype=doit&order=Reuse+same+sort+as+last+time&query_based_on=glsa%3F&field0-0-0=noop&type0-0-0=noop&value0-0-0="> + Voto GLSA</uri>, elenco di bug che sono stati corretti nell'albero di + Portage, ma non hanno ancora una decisione GLSA. + </li> + <li> + <uri + link="https://bugs.gentoo.org/buglist.cgi?query_format=advanced&short_desc_type=allwordssubstr&short_desc=&product=Gentoo+Security&component=Auditing&component=Vulnerabilities&long_desc_type=substring&long_desc=&bug_file_loc_type=allwordssubstr&bug_file_loc=&status_whiteboard_type=notregexp&status_whiteboard=ebuild|upstream|glsa|masked|stable&keywords_type=nowords&keywords=tracker&bug_status=NEW&bug_status=ASSIGNED&bug_status=REOPENED&emailassigned_to1=1&emailtype1=substring&email1=&emailassigned_to2=1&emailreporter2=1&emailcc2=1&emailtype2=substring&email2=&bugidtype=include&bug_id=&votes=&chfieldfrom=&chfieldto=Now&chfieldvalue=&cmdtype=doit&order=Reuse+same+sort+as+last+time&query_based_on=unhandled&field0-0-0=noop&type0-0-0=noop&value0-0-0="> + Bug non gestiti</uri>, bug che sono in uno stato Whiteboard non conosciuto. + </li> + <li> + <uri + link="https://bugs.gentoo.org/buglist.cgi?query_format=advanced&short_desc_type=notregexp&short_desc=CVE&product=Gentoo+Security&component=Auditing&component=Default+Configs&component=GLSA+Errors&component=Kernel&component=Runpath+Issues&component=Vulnerabilities&long_desc_type=substring&long_desc=&bug_file_loc_type=allwordssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&status_whiteboard=&keywords_type=nowords&keywords=Tracker&bug_status=NEW&bug_status=ASSIGNED&bug_status=REOPENED&emailassigned_to1=1&emailtype1=substring&email1=&emailassigned_to2=1&emailreporter2=1&emailcc2=1&emailtype2=substring&email2=&bugidtype=include&bug_id=&votes=&chfieldfrom=&chfieldto=Now&chfieldvalue=&cmdtype=doit&order=Reuse+same+sort+as+last+time&query_based_on=no-cve&field0-0-0=noop&type0-0-0=noop&value0-0-0="> + Nessun CVE</uri>, bug che non includono nessun identificatore CVE nel + proprio titolo. + </li> +</ul> + +</body> +</section> +</chapter> +</guide> |