Version imprimable Charte de sécurité - 4. Procédure de correctif de sécurité
4.1 Ajout de correctifs de sécurité
Les correctifs de sécurité ne peuvent être appliqués qu'après vérification par l'auteur originel du programme empaqueté pour Fink et pour lequel on a détecté une vulnérabilité concernant la sécurité. L'une au moins des conditions suivantes doit être remplie avant toute mise à jour :
- L'auteur du programme a contacté directement le mainteneur et/ou l'équipe Fink Core et a fourni une rustine ou toute autre forme de travail résolvant la vulnérabilité.
- L'une des sources mentionnées dans la liste des mots-clés a émis une alerte de sécurité contenant des sources corrigées pour le programme empaqueté pour Fink.
- Une rustine a été fournie par l'une des sources mots-clés : BUGTRAQ,FULLDISC,SF-INCIDENTS,VULN-DEV.
- Une alerte de sécurité officielle a été émise avec un statut Candidat CVE ; cette alerte décrit la vulnérabilité, fournit une solution, une rustine ou un lien vers des sources corrigées.
- Une pré-notification a été envoyée directement au mainteneur et/ou à l'équipe Fink Core ; cette pré-notification fournit une rustine ou une solution à une vulnérabilité et requiert qu'une action soit engagée.
4.2 Passage de la branche instable à la branche stable.
Les correctifs de sécurité pour un paquet donné sont d'abord appliqués à la branche instable. Après une période d'attente maximale de 12 heures, les fichiers info (et éventuellement patch) du paquet sont aussi mis dans la branche stable. La période de rétention doit être utilisée pour vérifier soigneusement que le paquet mis à jour fonctionne et que le correctif de sécurité n'introduit pas de nouveaux problèmes.
Suite: 5. Envoi des notifications