Реагирование на CVE
Мониторинг уязвимостей, backport исправлений, сроки реакции.
На этой странице
CVE (Common Vulnerabilities and Exposures) — это стандартизированные идентификаторы известных уязвимостей. Мейнтейнер должен отслеживать CVE для своих пакетов и реагировать.
Где узнать о CVE
| Источник | Что отслеживать |
|---|---|
| NVD | Поиск по имени продукта |
| GitHub Security Advisories | Уведомления для репозиториев, на которые подписаны |
| Рассылки upstream-проекта | Анонсы безопасности |
| OSV.dev | Агрегатор уязвимостей Open Source |
| Telegram / форум ROSA | Обсуждения сообщества |
Подписка на уведомления
# GitHub: Watch → Custom → Security advisories
# Для каждого upstream-проекта, который вы мейнтейните
Оценка серьёзности
CVE имеют оценку по шкале CVSS (0.0 — 10.0):
| CVSS | Серьёзность | Срок реакции |
|---|---|---|
| 9.0-10.0 | Критическая | Немедленно (часы) |
| 7.0-8.9 | Высокая | 1-3 дня |
| 4.0-6.9 | Средняя | 1-2 недели |
| 0.1-3.9 | Низкая | При следующем обновлении |
Алгоритм реагирования
1. Проверить, затронут ли ваш пакет
# Какая версия у вас
rpm -q mypackage
# Какие версии затронуты (из описания CVE)
# Пример: "Affected: < 2.1.3"
2. Найти исправление
- Upstream выпустил новую версию → обновите пакет
- Upstream выпустил только коммит → сделайте backport-патч
- Upstream не реагирует → создайте патч самостоятельно или отключите уязвимую функцию
3. Создать обновление
# Вариант A: обновление версии
Version: 2.1.3
Release: 1%{?dist}
%changelog
* Thu Feb 06 2025 Your Name <your@email.com> - 2.1.3-1
- Update to 2.1.3
- Fix CVE-2025-1234: heap buffer overflow in parser
# Вариант B: backport-патч
Version: 2.1.0
Release: 2%{?dist}
Patch10: backport-CVE-2025-1234.patch
%changelog
* Thu Feb 06 2025 Your Name <your@email.com> - 2.1.0-2
- Fix CVE-2025-1234: heap buffer overflow in parser
4. Собрать и опубликовать
rpmbuild -ba mypackage.spec
rpmlint ~/rpmbuild/RPMS/*/*.rpm
# Закоммитить и собрать на ABF
git add .
git commit -m "Fix CVE-2025-1234"
git push
Документирование CVE в changelog
Всегда указывайте CVE-идентификатор в changelog:
%changelog
* Thu Feb 06 2025 Your Name <your@email.com> - 1.5.0-3
- Fix CVE-2025-1234: buffer overflow in XML parser (rhbz#12345)
- Fix CVE-2025-5678: directory traversal in file upload
Это позволяет:
- Быстро найти, когда исправление попало в пакет
- Аудитировать безопасность пакетов
- Информировать пользователей
Проверьте понимание
- Где искать информацию о CVE для вашего пакета?
- Как определить серьёзность уязвимости?
- Когда делать backport-патч, а когда обновлять версию?
- Почему важно указывать CVE в changelog?