Boa tarde, Thiago. On Fri, Aug 14, 2020 at 02:02:08PM -0300, Carlos Henrique Lima Melara wrote: > On Mon, Jul 27, 2020 at 04:56:53PM +0000, Thiago Pezzo wrote: > > Segue uma nova tradução para revisão. > > Também farei a revisão desta tradução.
Segue o patch com minhas sugestões de alteração. Também anexei o arquivo completo e revisado como justifiquei no email anterior. Se achar desnecessário, por favor me avise para eu enviar somente o patch. Abraços, Charles
--- disclosure-policy.wml 2020-08-15 12:15:22.578719907 -0300 +++ disclosure-policy_rev.wml 2020-08-15 12:56:00.254075224 -0300 @@ -11,7 +11,7 @@ <h2>Processo geral</h2> -<p>Geralmente, o time de segurança do Debian retornará os relatórios de +<p>Geralmente, o time de segurança do Debian retornará para os relatores(as) de vulnerabilidade dentro de alguns dias (veja as entradas do FAQ para <a href="faq#contact">contatando o time de segurança</a> e <a href="faq#discover">relatando vulnerabilidades</a>). @@ -22,8 +22,8 @@ GNU/Linux. Isto significa que a maior parte das vulnerabilidades que afetam o Debian também afetam outras distribuições e, em muitos casos, fornecedores(as) comerciais de software. Como resultado, a divulgação de vulnerabilidades tem -sido coordenada com outros grupos, não somente com o(a) relator(a) e o Debian -mesmo.</p> +que ser coordenada com outros grupos, não somente com o(a) relator(a) e o Debian +em si.</p> <p>Um fórum para esta coordenação é a <a href="https://oss-security.openwall.org/wiki/mailing-lists/distros">lista de distribuições</a>. @@ -78,7 +78,7 @@ submissão de sua própria requisição para um ID CVE.</p> <p>Uma atribuição CVE pelo Debian CNA será tornada pública com a -publicação do Alerta de Segurança do Debian, ou quando o bug é +publicação do Alerta de Segurança do Debian, ou quando o bug for registrado no sistema de rastreamento de bugs apropriado.</p> <h2>Vulnerabilidade vs bug regular</h2> @@ -98,7 +98,7 @@ <h2>Vulnerabilidades de infraestrutura do Debian</h2> -<p>Relatórios de vulnerabilidades na infraestrutura mesma do Debian são +<p>Relatórios de vulnerabilidades na infraestrutura do próprio Debian são administradas de forma semelhante. Se uma vulnerabilidade de infraestrutura não é o resultado de má configuração, mas uma vulnerabilidade no software que está sendo usado, a usual coordenação multigrupo será demandada, com
#use wml::debian::template title="Política de divulgação de vulnerabilidades do Debian" #use wml::debian::translation-check translation="5a5aa2dd64b9f93c369cb9c01eafa0bef14dafa8" Este documento é a política de divulgação e embargo de vulnerabilidades do projeto Debian, como requerido pelo estado do Debian como uma Autoridade Numeradora CVE (CVE Numbering Authority - Sub-CNA, <a href="https://cve.mitre.org/cve/cna/rules.html#section_2-3_record_management_rules">regra 2.3.3</a>). Por favor, também consulte o <a href="faq">FAQ do time de segurança</a> para informações adicionais sobre procedimentos de segurança no Debian. <h2>Processo geral</h2> <p>Geralmente, o time de segurança do Debian retornará para os relatores(as) de vulnerabilidade dentro de alguns dias (veja as entradas do FAQ para <a href="faq#contact">contatando o time de segurança</a> e <a href="faq#discover">relatando vulnerabilidades</a>). <p>A maioria do software que é parte do sistema operacional Debian não foi escrito especificamente para o Debian. O sistema operacional Debian como um todo também serve como uma fundação para outras distribuições GNU/Linux. Isto significa que a maior parte das vulnerabilidades que afetam o Debian também afetam outras distribuições e, em muitos casos, fornecedores(as) comerciais de software. Como resultado, a divulgação de vulnerabilidades tem que ser coordenada com outros grupos, não somente com o(a) relator(a) e o Debian em si.</p> <p>Um fórum para esta coordenação é a <a href="https://oss-security.openwall.org/wiki/mailing-lists/distros">lista de distribuições</a>. O time de segurança do Debian supõe que os(as) pesquisadores(as) de segurança experientes contatem diretamente a lista de distribuições e os projetos originais afetados. O time de segurança do Debian oferecerá assistência para outros relatores(as) se preciso. Antes de envolver outras partes, a permissão dos(as) relatores(as) é obtida.</p> <h2>Linhas do tempo</h2> <p>Como mencionado no início, espera-se que a notificação por e-mail do relatório inicial demore alguns dias no máximo.</p> <p>Como o tratamento da maioria das vulnerabilidades nos softwares do Debian requer a coordenação entre vários grupos (desenvolvedores(as) do aplicativo, outras distribuições), o período entre o relatório inicial da vulnerabilidade e sua divulgação pública varia muito, dependendo do software e das organizações envolvidas.</p> <p>A lista de distribuições limita o período de embargo (o período entre o relatório inicial e a divulgação) em duas semanas. Entretanto, períodos mais longos não são incomuns, com coordenação adicional antes do compartilhamento com a lista de distribuições, para acomodar fornecedores(as) com ciclos de lançamento mensais ou mesmo trimestrais. O tratamento de vulnerabilidades de protocolo de Internet pode ser ainda mais longo que aqueles, como também as tentativas de desenvolvimento de mitigação de vulnerabilidades de hardware no software.</p> <h2>Evitando embargos</h2> <p>Visto que a coordenação no privado tende a causar muito atrito e torna difícil o envolvimento dos(as) especialistas adequados(as) à matéria, o Debian encorajará a divulgação pública de vulnerabilidades mesmo antes de uma correção ter sido desenvolvida, exceto quando tal abordagem claramente coloca em perigo os(as) usuários(as) do Debian e outros grupos.</p> <p>O time de segurança do Debian frequentemente demandará aos(às) relatores(as) de vulnerabilidades que preencham um relatório de bug público no sistema de rastreamento de bug apropriado (como o <a href="../Bugs/">sistema de rastreamento de bug do Debian</a>), fornecendo assistência se necessário.</p> <p>Um embargo não é necessário para atribuições ou créditos CVE em um alerta de segurança.</p> <h2>Atribuição CVE</h2> <p>O Debian, como um sub-CNA, somente atribui IDs CVE para vulnerabilidades do Debian. Se uma vulnerabilidade reportada não atende este critério e portanto está fora do escopo do CNA do Debian, o time de segurança do Debian buscará uma atribuição do ID CVE de outros CNAs ou guiará o(a) relator(a) na submissão de sua própria requisição para um ID CVE.</p> <p>Uma atribuição CVE pelo Debian CNA será tornada pública com a publicação do Alerta de Segurança do Debian, ou quando o bug for registrado no sistema de rastreamento de bugs apropriado.</p> <h2>Vulnerabilidade vs bug regular</h2> <p>Devido à ampla gama de software que é parte do sistema operacional Debian, não é possível fornecer uma orientação sobre o que constitui uma vulnerabilidade de segurança e sobre o que é somente um bug de software comum. Quando em dúvida, por favor contate o time de segurança do Debian.</p> <h2>Programa de recompensa de caça aos bugs</h2> <p>O Debian não oferece um programa de recompensa de caça aos bugs. Grupos independentes podem encorajar os(as) relatores(as) a contatá-los sobre vulnerabilidades no sistema operacional Debian, mas eles não são endossados pelo projeto Debian.</p> <h2>Vulnerabilidades de infraestrutura do Debian</h2> <p>Relatórios de vulnerabilidades na infraestrutura do próprio Debian são administradas de forma semelhante. Se uma vulnerabilidade de infraestrutura não é o resultado de má configuração, mas uma vulnerabilidade no software que está sendo usado, a usual coordenação multigrupo será demandada, com prazos similares aos descritos acima.</p>