Security Policy - 5. 发送通知

有些用户不会很经常地更新他们的软件。为了确保那些从源代码安装软件包的用户可以尽快更新发生问题的软件包，维护者可以向 Fink 通知邮件列表发送邮件要求发送通知。

5.1 谁应该发送它们？

这些通知应该只由 Fink 安全团队发布。多数通知会发自 dmalloc@users.sourceforge.net，邮件会用 PGP 密钥签署，其指纹为：

FD77 F0B7 5C65 F546 EB08 A4EC 3CCA 1A32 7E24 291E
可以在http://pgp.mit.edu:11371/pks/lookup?op=get&search=0x7E24291E找到。

上述网址是特意设为非链接的。

其它被授权的团队成员包括：(here you add your email + public key like I did above)

peter@pogma.com，PGP 密钥指纹为：

4D67 1997 DD32 AE8E D7ED 9C79 8491 2AB7 DF3B 6004
它可以在 http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xDF3B6004 找到。

其它被授权的团队成员包括：(here you add your email + public key like I did above)

ranger@befunk.com，PGP 密钥指纹为：

6401 D02A A35F 55E9 D7DD 71C5 52EF A366 D3F6 65FE
它可以在 http://pgp.mit.edu:11371/pks/lookup?op=get&search=0xD3F665FE 找到。

5.2 如何提交

为了确保安全性通知有统一的形式，所有安全性通知必须符合下面的模板。

 ID: FINK-YYYY-MMDD-NN 
                        Reported: YYYY-MM-DD 
                        Updated:  YYYY-MM-DD 
                        Package:  package-name
                        Affected: <= versionid
                        Maintainer: maintainer-name
                        Tree(s): 10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable
                        Mac OS X version: 10.3, 10.2 
                        Fix: patch|upstream 
                        Updated by: maintainer|forced update (Email)
                        Description: A short description describing the issue.
                        References: KEYWORD (see above) Ref-URL: URL

样板的报告应该大致是这样的：

 ID: FINK-2004-06-01 
                        Reported:         2004-06-09 
                        Updated:          2004-06-09 
                        Package:          cvs 
                        Affected:             <= 1.11.16, <= 1.12.8
                        Maintainer:       Sylvain Cuaz 
                        Tree(s):    10.3/stable, 10.3/unstable, 10.2-gcc3.3/stable,10.2-gcc3.3/unstable 
                        Mac OS X version: 10.3, 10.2 
                        Fix: upstream
                        Updated by: forced update (dmalloc@users.sourceforge.net)
                        Description: Multiple vulnerabilities in CVS found my Ematters
                        Security. References: BID 
                        Ref-URL:    http://www.securityfocus.com/bid/10499 
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0414
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0416
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0417
                        References: CVE 
                        Ref-URL:    http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0418
                        References: FULLDISCURL 
                        Ref-URL:    http://lists.netsys.com/pipermail/full-disclosure/2004-June/022441.html
                        References: MISC 
                        Ref-URL:    http://security.e-matters.de/advisories/092004.html

请注意 Affected 关键字所指的软件包并不只包含 Fink 中的软件包。在样本报告中很清楚地展示了这点。