7.1. Das Sicherheitsteam von Debian
Debian hat ein Sicherheitsteam, das aus fünf Mitgliedern und zwei Sekretären besteht. Es ist für die Sicherheit in der Stable-Veröffentlichung verantwortlich. Das bedeutet, dass es Sicherheitslücken nachgeht, die in Software auftauchen (indem es Foren wie Bugtraq oder vuln-dev beobachtet), und ermittelt, ob davon die Stable-Veröffentlichung betroffen ist.
Das Sicherheitsteam von Debian ist auch der Ansprechpartner für Probleme, die von den Programmautoren oder Organisationen wie
http://www.cert.org behandelt werden und die mehrere Linux-Anbieter betreffen können. Das gilt für alle Probleme, die nicht debianspezifisch sind. Die Kontaktadresse des Sicherheitsteams ist
hmailto:team@security.debian.org, die nur die Mitglieder des Sicherheitsteams lesen.
Heikle Informationen sollten an die erste Adresse geschickt werden und unter Umständen mit dem Schlüssel von Debian Security Contact (der sich in Debians Schlüsselbund befindet) verschlüsselt werden.
Wenn das Sicherheitsteam ein mögliches Problem erhält, wird es untersuchen, ob die
Stable-Veröffentlichung davon betroffen ist. Wenn dies der Fall ist, wird eine Ausbesserungen des Quellcodes vorgenommen. Diese Ausbesserung schließt manchmal ein, dass Patches der Programmautoren zurückportiert werden (da das Originalprogramm gewöhnlich einige Versionen weiter ist als das in Debian). Nachdem die Ausbesserung getestet wurde, werden neue Pakete vorbereitet und auf der Seite
hsecurity-master.debian.org veröffentlicht, damit sie mit
apt
abgerufen werden können (siehe
Abschnitt 4.2, „Ausführen von Sicherheitsaktualisierungen“). Zur gleichen Zeit wird eine
Debian-Sicherheits-Ankündigung (DSA) auf der Webseite veröffentlicht und an öffentliche Mailinglisten einschließlich
http://lists.debian.org/debian-security-announce und Bugtraq geschickt.