我正在管理一个服务器,该服务器有一个定制的软件包,该软件包基于针对上游 Debian 软件包的补丁,该软件包来自与服务器实际运行的 Debian 版本不同的版本。我想确保能够及时响应上游软件包出现的任何安全问题。
上游来源位于: https://anonscm.debian.org/viewvc/pkg-mailman/trunk/和 svn://anonscm.debian.org/pkg-mailman/trunk 。
有没有办法监控安全补丁?如何标记新版本对安全有影响?我知道主干分支可能不等同于任何版本,但我能否以某种方式监控“测试”分支中的安全修复程序?
答案1
这个案子有些复杂。
让我们来看看https://www.debian.org/security/
它有 debian-security-announce 列表 https://www.debian.org/security/2016/
例如,有关于 mailman 安全更新 ( DSA-3668-1 mailman ) 的信息 https://www.debian.org/security/2016/dsa-3668
链接到 Debian 错误跟踪系统,其中包含有关错误的讨论以及有关错误的详细信息和参考资料 https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=835970
CVE - 受影响软件包和版本的摘要 https://security-tracker.debian.org/tracker/CVE-2016-6893
我知道主干分支可能不等同于任何版本,但我可以以某种方式监控例如“测试”分支的安全修复吗?
您可以监视 debian-security-announce 列表,查看有关您必须关注的软件包的新条目。例如,这可以编写脚本。然后,您必须研究案例并最终应用补丁(如果它们尚未应用于您正在使用的主版本)。并最终处理由软件包自定义引起的其他问题。还可以订阅 mailman 项目开发团队的 bugtracking 系统(项目页面https://www.gnu.org/software/mailman/)。