Frédéric Bothamy <[EMAIL PROTECTED]> écrivait :
« Bonjour,
«
« Je viens de mettre à jour la traduction de la référence du développeur
« Debian. Le fichier diff compressé est joint à ce message et vous pouvez
« trouver la dernière version à cette adresse :
«
«
http://cvs.debian.org/ddp/manuals.sgml/developers-reference/developers-reference.fr.sgml?cvsroot=debian-doc
«
« La principale modification est l'ajout de la section
« bpp-debian-security-audit.
«
Relecture.
a+
--
Philippe Batailler
--- developers-reference.fr.sgml 2005-10-26 21:03:40.000000000 +0200
+++ dev.sgml 2005-10-27 17:59:36.000000000 +0200
@@ -4459,27 +4459,27 @@
</sect>
<sect id="bpp-debian-security-audit">
- <heading>Les meilleures pratiques pour les revues et conception de
sécurité</heading>
+ <heading>Les meilleures pratiques en matière de sécurité</heading>
<p>Si vous empaquetez un logiciel pour d'autres utilisateurs, vous devez
-vous efforcer de garantir que l'installation du logiciel, ou son
-utilisation, n'introduit pas de risques de sécurité soit pour le
-système sur lequel il est installé, soit pour ses utilisateurs.</p>
-
-<p>Vous devez vous efforcer de faire une revue du code source du paquet
-et détecter les problèmes qui pourraient introduire des bogues de
-sécurité. Les bogues de programmation entraînant des bogues de sécurité
-incluent généralement : <url
-id="http://en.wikipedia.org/wiki/Buffer_overflow"; name="dépassements de
+vous efforcer de garantir que l'installation du logiciel et son
+utilisation, n'introduisent pas de risques pour la sécurité du
+système sur lequel il est installé ou de ses utilisateurs.</p>
+
+<p>Vous devez vous efforcer d'examiner le code source du paquet
+et détecter les problèmes qui pourraient amener des bogues concernant la
+sécurité. Les erreurs de programmation qui entraînent des bogues concernant la
sécurité
+sont généralement des : <url
+id="http://en.wikipedia.org/wiki/Buffer_overflow"; name="dépassement de
tampon">, <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting"; name="dépassement
de chaînes de formatage">, <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting"; name="dépassement
de tas"> et <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting"; name="dépassement
-d'entiers"> (dans les programmes C/C++), <url
-id="http://en.wikipedia.org/wiki/Symlink_race"; name="conditions de
-concurrence de lien symbolique"> temporaires (dans les scripts), <url
+d'entier"> (dans les programmes C/C++), <url
+id="http://en.wikipedia.org/wiki/Symlink_race"; name="situation de
+concurrence entre liens symboliques"> temporaire (dans les scripts), <url
id="http://en.wikipedia.org/wiki/Directory_traversal"; name="traversée de
répertoire"> et injection de commandes (dans les serveurs) et <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting";
@@ -4489,23 +4489,23 @@
<p>Certains de ces problèmes peuvent ne pas être évidents à détecter à
moins d'être un expert dans le langage de programmation utilisé par le
-programme, mais certains problèmes de sécurité sont faciles à détecter et
-à corriger. Par exemple, trouver des conditions de concurrence
-temporaires dans un code source peut facilement être fait en exécutant
-<tt>grep -r "/tmp/" .</tt> dans le code source et en remplaçant les noms
+programme, mais d'autres sont faciles à détecter et
+à corriger. Par exemple, il est facile de trouver des situations de concurrence
+temporaires dans un code source : on peut exécuter
+<tt>grep -r "/tmp/" .</tt> dans le code source et remplaçer les noms
de fichier codés en dur utilisant des répertoires temporaires par des
appels soit à <prgn>mktemp</prgn> ou à <prgn>tempfile</prgn> dans les
scripts shell, à <manref name="File::Temp" section="3perl"> dans les
scripts Perl, et à <manref name="tmpfile" section="3"> pour du C/C++.
Vous pouvez également utiliser des <url
id="http://www.debian.org/security/audit/tools"; name="outils
-spécifiques"> pour assister la phase de revue du code de sécurité.</p>
+spécifiques"> qui facilitent la phase d'étude du code du point de vue de la
sécurité.</p>
<p>Quand vous empaquetez un logiciel, assurez-vous que :
<list>
-<item>le logiciel fonctionne avec le minimum de privilèges dont il a
besoin :
+<item>le logiciel fonctionne avec le minimum de privilèges :
<list>
<item>le paquet installe des binaires setuid ou setgid.
@@ -4517,17 +4517,17 @@
name="setuid et setgid">.
<item>les démons fournis par le paquet s'exécutent avec un utilisateur à
-privilège réduit (voir <ref id="bpp-lower-privs">)
+privilège réduit (voir <ref id="bpp-lower-privs">).
</list>
-<item>Les tãches programmées (par exemple, <prgn>cron</prgn>)
-fonctionnant dans le système ne s'exécutent PAS en tant que root ou si
+<item>les tâches programmées (par exemple, <prgn>cron</prgn>)
+ne s'exécutent PAS en tant que root ou si
elles le font, elles n'implémentent pas de tâches complexes.
</list>
-<p>Si vous avez l'un des cas ci-dessus, assurez-vous que les programmes
+<p>Si votre paquet se trouve dans l'un des cas ci-dessus, assurez-vous que les
programmes
qui s'exécutent avec des privilèges plus élevés ont été audités pour les
bogues de sécurité. Si vous n'en êtes pas certain ou si vous avez besoin
d'aide, contactez l'<url
@@ -4538,12 +4538,12 @@
name="permissions et propriétaires">.
</p>
-<p>Pour plus d'informations spécifiques à la programmation sécurisée,
-assurez-vous de lire (ou de signaler au développeur amont) <url
+<p>Pour d'autres informations spécifiques à la programmation sécurisée,
+lisez (ou signalez au développeur amont) <url
id="http://www.dwheeler.com/secure-programs/"; name="Secure Programming
for Linux and Unix HOWTO"> et le portail <url
id="https://buildsecurityin.us-cert.gov/portal/"; name="Build Security
-In">. Pour plus d'informations spécifiques à la sécurité Debian, vous
+In">. Pour des informations spécifiques à la sécurité dans la distribution
Debian, vous
pouvez lire le <url
id="http://www.debian.org/doc/manuals/securing-debian-howto/";
name="guide de sécurisation de Debian">.
