hi,
Siehe Attachment. Bitte mal drübergucken :).
bye,
- michael
#use wml::debian::template title="Leiten einer Sicherheitsüberprüfung"
#use wml::debian::recent_list
#use wml::debian::translation-check translation="1.8"
# $Id: $
# Translator: Michael Ablassmeier <[EMAIL PROTECTED]> 2005-01-14
<p>Diese Seite enthält eine grobe Übersicht von Schritten, die notwendig sind
ein Paket einer Sicherheitsüberprüfung zu unterziehen.</p>
<p>Die erste Handlung sollte sein, ein Paket auszuwählen. Hierbei sollte man
sich auf möglichst sicherheitskritische Pakete konzentrieren.</p>
<p>Um diese Entscheidung zu vereinfachen führen wir <a
href="$(HOME)/security/audit/packages">eine Liste von Paketen bei denen wir
eine Prüfung für wichtig halten</a>.</p>
<p>Bitte beachten: wir versuchen <i>nicht</i> sicherzustellen, dass ein Paket
nur einmal geprüft wird. Wenn mehrere Personen ein Paket auf seine Sicherheit
prüfen, ist dies eine gute Sache und ein Indiz dafür, dass das Paket
sicherheitskritisch ist.</p>
<p>Indem wir eine wahllose Auswahl der Pakete erlauben, eliminieren wir das
Problem uns die Frage stellen zu müssen, inwiefern man einer Person vertrauen
kann, dass sie eine gute Überprüfung durchführt (früher oder später wird andere
Person das selbe Paket einer Überprüfung unterziehen).</p>
<h2>Starten der Sicherheitsüberpüfung</h2>
<p>Nachdem das Paket ausgewählt wurde, ist es an der Zeit die Überprüfung
durchführen.</p>
<p>Falls man sich der Probleme nach denen man sucht nicht bewusst ist, so
empfiehlt es sich, zuerst ein Buch über die sichere Entwicklung von Software zu
lesen.</p>
<p>Das <a href="http://www.dwheeler.com/secure-programs";>Sichere Programmierung
für Linux und Unix HOWTO</a> enthält viele Informationen die hilfreich sein
können.</p>
<p>Auch wenn Hilfsprogramme Imperfekt sind, können sie extrem hilfreich sein
womögliche Verwundbarkeiten aufzuspüren. Hierzu haben wir eine <a
href="tools">Liste von Hilfsprogrammen</a> zusammengestellt und erklärt wie sie
verwendet werden.</p>
<p>Ebenso wie das Lesen des Quellcodes, ist es auch eine gute Idee die
Dokumentation des Paketes anzusehen, sowie es zu installieren und zu
benutzen.</p>
<p>Dies erlaubt es, sich eine Vorstellung davon zu machen, wie man das Programm
in seinem typischen Einsatzumfeld missbrauchen könnte.</p>
<h2>Probleme berichten</h2>
<p>Findet man einen Fehler, so ist es wichtig auf diesen aufmerksam zu
machen.</p>
<p>Sicherheitskritische Fehler sollten nicht veröffentlicht werden, bevor sie
nicht ausgemerzt wurden. Berichten Sie <i>nicht</i> auf dem üblichen Weg (über
die <a href="http://bugs.debian.org/";>Debian-Fehlerdatenbank</a>) von diesen
Fehlern, sondern wenden Sie sich direkt an <a href="$(HOME)/security/">das
Sicherheits-Team</a>, welches sich der Behebung des Problems annehmen wird.</p>
<p>Im Idealfall sollte jeder Bericht einen von Ihnen erstellten Lösungsvorschlag
beinhalten, der das Problem behebt sowie ausreichend getestet wurde.</p>
<p>Sollten Sie über keinen Lösungsvorschlag verfügen, ist es nützlich möglichst
viele Informationen bezüglich des Problems, seiner Wichtigkeit und Vorschläge
wie man es umgehen kann bereitzustellen.</p>
<p>Das Sicherheits-Team wird die - sollte es nötig sein - Koordination mit
anderen Linux-Distributionen übernehmen und die Paketverwalter in Ihrem
Interesse kontaktieren.</p>
