Vulnerability Policy
Материал из ALT Linux Wiki
(Различия между версиями)
м |
м |
||
Строка 7: | Строка 7: | ||
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) | (Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN) | ||
+ | При этом: | ||
* регистр не учитывается | * регистр не учитывается | ||
- | * обязательно | + | * конструкция обязательно обрамлена скобками |
* несколько уязвимостей указываются через запятую, пробел или and | * несколько уязвимостей указываются через запятую, пробел или and | ||
* двоеточие можно не указывать | * двоеточие можно не указывать | ||
- | Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно позднее. | + | Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее. |
Версия 16:29, 21 февраля 2017
Указание устраненных уязвимостей в changelog
В changelog должен указываться CVE либо, при отсутствии такового, другой идентификатор устраненной уязвимости. Синтаксис подобен синтаксису указания закрытого багрепорта:
(Fixes: CVE-NNNN-NNNNN, CVE-NNNN-NNNNN)
При этом:
- регистр не учитывается
- конструкция обязательно обрамлена скобками
- несколько уязвимостей указываются через запятую, пробел или and
- двоеточие можно не указывать
Факт устранения уязвимостей должен обязательно описываться в changelog, если об этом уже известно мейнтейнеру; крайне желательно при сборке новых релизов проверять, было ли что устранено; changelog можно исправлять, если становится известно об уязвимостях позднее.