Frédéric Bothamy <[EMAIL PROTECTED]> écrivait : « Bonjour, « « Je viens de mettre à jour la traduction de la référence du développeur « Debian. Le fichier diff compressé est joint à ce message et vous pouvez « trouver la dernière version à cette adresse : « « http://cvs.debian.org/ddp/manuals.sgml/developers-reference/developers-reference.fr.sgml?cvsroot=debian-doc « « La principale modification est l'ajout de la section « bpp-debian-security-audit. « Relecture. a+
-- Philippe Batailler
--- developers-reference.fr.sgml 2005-10-26 21:03:40.000000000 +0200 +++ dev.sgml 2005-10-27 17:59:36.000000000 +0200 @@ -4459,27 +4459,27 @@ </sect> <sect id="bpp-debian-security-audit"> - <heading>Les meilleures pratiques pour les revues et conception de sécurité</heading> + <heading>Les meilleures pratiques en matière de sécurité</heading> <p>Si vous empaquetez un logiciel pour d'autres utilisateurs, vous devez -vous efforcer de garantir que l'installation du logiciel, ou son -utilisation, n'introduit pas de risques de sécurité soit pour le -système sur lequel il est installé, soit pour ses utilisateurs.</p> - -<p>Vous devez vous efforcer de faire une revue du code source du paquet -et détecter les problèmes qui pourraient introduire des bogues de -sécurité. Les bogues de programmation entraînant des bogues de sécurité -incluent généralement : <url -id="http://en.wikipedia.org/wiki/Buffer_overflow" name="dépassements de +vous efforcer de garantir que l'installation du logiciel et son +utilisation, n'introduisent pas de risques pour la sécurité du +système sur lequel il est installé ou de ses utilisateurs.</p> + +<p>Vous devez vous efforcer d'examiner le code source du paquet +et détecter les problèmes qui pourraient amener des bogues concernant la +sécurité. Les erreurs de programmation qui entraînent des bogues concernant la sécurité +sont généralement des : <url +id="http://en.wikipedia.org/wiki/Buffer_overflow" name="dépassement de tampon">, <url id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement de chaînes de formatage">, <url id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement de tas"> et <url id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement -d'entiers"> (dans les programmes C/C++), <url -id="http://en.wikipedia.org/wiki/Symlink_race" name="conditions de -concurrence de lien symbolique"> temporaires (dans les scripts), <url +d'entier"> (dans les programmes C/C++), <url +id="http://en.wikipedia.org/wiki/Symlink_race" name="situation de +concurrence entre liens symboliques"> temporaire (dans les scripts), <url id="http://en.wikipedia.org/wiki/Directory_traversal" name="traversée de répertoire"> et injection de commandes (dans les serveurs) et <url id="http://en.wikipedia.org/wiki/Cross_site_scripting" @@ -4489,23 +4489,23 @@ <p>Certains de ces problèmes peuvent ne pas être évidents à détecter à moins d'être un expert dans le langage de programmation utilisé par le -programme, mais certains problèmes de sécurité sont faciles à détecter et -à corriger. Par exemple, trouver des conditions de concurrence -temporaires dans un code source peut facilement être fait en exécutant -<tt>grep -r "/tmp/" .</tt> dans le code source et en remplaçant les noms +programme, mais d'autres sont faciles à détecter et +à corriger. Par exemple, il est facile de trouver des situations de concurrence +temporaires dans un code source : on peut exécuter +<tt>grep -r "/tmp/" .</tt> dans le code source et remplaçer les noms de fichier codés en dur utilisant des répertoires temporaires par des appels soit à <prgn>mktemp</prgn> ou à <prgn>tempfile</prgn> dans les scripts shell, à <manref name="File::Temp" section="3perl"> dans les scripts Perl, et à <manref name="tmpfile" section="3"> pour du C/C++. Vous pouvez également utiliser des <url id="http://www.debian.org/security/audit/tools" name="outils -spécifiques"> pour assister la phase de revue du code de sécurité.</p> +spécifiques"> qui facilitent la phase d'étude du code du point de vue de la sécurité.</p> <p>Quand vous empaquetez un logiciel, assurez-vous que : <list> -<item>le logiciel fonctionne avec le minimum de privilèges dont il a besoin : +<item>le logiciel fonctionne avec le minimum de privilèges : <list> <item>le paquet installe des binaires setuid ou setgid. @@ -4517,17 +4517,17 @@ name="setuid et setgid">. <item>les démons fournis par le paquet s'exécutent avec un utilisateur à -privilège réduit (voir <ref id="bpp-lower-privs">) +privilège réduit (voir <ref id="bpp-lower-privs">). </list> -<item>Les tãches programmées (par exemple, <prgn>cron</prgn>) -fonctionnant dans le système ne s'exécutent PAS en tant que root ou si +<item>les tâches programmées (par exemple, <prgn>cron</prgn>) +ne s'exécutent PAS en tant que root ou si elles le font, elles n'implémentent pas de tâches complexes. </list> -<p>Si vous avez l'un des cas ci-dessus, assurez-vous que les programmes +<p>Si votre paquet se trouve dans l'un des cas ci-dessus, assurez-vous que les programmes qui s'exécutent avec des privilèges plus élevés ont été audités pour les bogues de sécurité. Si vous n'en êtes pas certain ou si vous avez besoin d'aide, contactez l'<url @@ -4538,12 +4538,12 @@ name="permissions et propriétaires">. </p> -<p>Pour plus d'informations spécifiques à la programmation sécurisée, -assurez-vous de lire (ou de signaler au développeur amont) <url +<p>Pour d'autres informations spécifiques à la programmation sécurisée, +lisez (ou signalez au développeur amont) <url id="http://www.dwheeler.com/secure-programs/" name="Secure Programming for Linux and Unix HOWTO"> et le portail <url id="https://buildsecurityin.us-cert.gov/portal/" name="Build Security -In">. Pour plus d'informations spécifiques à la sécurité Debian, vous +In">. Pour des informations spécifiques à la sécurité dans la distribution Debian, vous pouvez lire le <url id="http://www.debian.org/doc/manuals/securing-debian-howto/" name="guide de sécurisation de Debian">.