Vulnerability Policy
Материал из ALT Linux Wiki
(Различия между версиями)
м |
м |
||
| Строка 5: | Строка 5: | ||
== Указание устраненных уязвимостей в changelog == | == Указание устраненных уязвимостей в changelog == | ||
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|синтаксису указания закрытого багрепорта]]: | В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен [[Руководство_по_написанию_changelog#.D0.90.D0.B2.D1.82.D0.BE.D0.B7.D0.B0.D0.BA.D1.80.D1.8B.D1.82.D0.B8.D0.B5_.D0.B1.D0.B0.D0.B3.D0.BE.D0.B2|синтаксису указания закрытого багрепорта]]: | ||
| - | (Fixes: CVE-NNNN-NNNNN) | + | (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) |
| - | + | * регистр не учитывается | |
| + | * обязательно в скобках | ||
| + | * несколько уязвимостей указываются через запятую, пробел или and | ||
| + | * двоеточие можно не указывать | ||
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее. | Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее. | ||
Версия 16:24, 21 февраля 2017
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
- регистр не учитывается
- обязательно в скобках
- несколько уязвимостей указываются через запятую, пробел или and
- двоеточие можно не указывать
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее.
