Deutsch
Sicherheit
Wie man von einem Sicherheits Projekt erwarten kann, nimmt OpenVAS die Sicherheit des Projekts und der Softwarekomponenten sehr ernst. Wir haben kein Problem mit der Idee der Vollständigen Aufklärung und verwenden sowohl einen öffentlichen Bug Tracker als auch eine öffentliche Entwickler Mailing-Liste mit welchen jeder mit den Projektentwicklern über potentielle Probleme kommunizieren kann. Jedoch verstehen wir auch, dass es unter Sicherheits Experten den Bedarf gibt verantwortungsvoll, bzw. teilweise und koordiniert Sicherheitsprobleme zu veröffentlichen. Zu diesem Zweck haben wir unseren "Vendor dictionary" Eintrag in der OSVDB aktualisiert und diese Seite veröffentlicht um einen alternativen Ablauf anzubieten mit welchem uns Sicherheitslücken mitgeteilt werden können.
Prozess zur Handhabe von Sicherheitslücken
Ein Überblick:
- Die Sicherheitslücke wird OpenVAS vertraulich vom Finder mitgeteilt.
- Der verantwortliche Entwickler für die Komponente arbeitet vertraulich mit dem Berichter der Sicherheitslücke zusammen um das Problem zu beseitigen.
- Es wird ein neues Release der entsprechenden Komponente veröffentlicht bei welchem die Sicherheitslückge geschlossen wurde.
- Die Sicherheitslücke wird öffentlich bekanntgegeben.
OpenVAS hat gute Kontakte zu oss-security, oCERT sowie OSVDB und kann bei Bedarf eine CVE anfordern.
Kontakt für Sicherheitsfragen
Wir benutzen keinen "Team" OpenPGP Schlüssel. Wenn Sie eine verschlüsselte E-Mail an security@openvas.org senden möchten, stellen Sie sich bitte darauf ein das eine Antwort etwas länger dauern könnte. Zum verschlüsseln sollten Sie die Schlüssel der folgenden Mitglieder des Sicherheitsteams verwenden:
- Projekt-Initiator: Tim Brown
- Entwicklungs-Koordinator: William Anderson
- Administrativer-Koordinator: Robert Berkowitz
