+Si vous entrez un numéro de bogue incorrect ou si vous oubliez un bogue dans les
+ entrées du fichier <file>changelog</file>, n'hésitez pas à annuler tout dommage
+ que l'erreur a entraîné. Pour réouvrir un bogue fermé par erreur, envoyez une
+ commande <tt>reopen <var>XXX</var></tt> à l'adresse de contrôle du système de
+ suivi des bogues, &email-bts-control;. Pour fermer tous les bogues restants qui
+ ont été corrigés par votre envoi, envoyez le fichier <file>.changes</file> à
+ <email>XXX-done@&bugs-host;</email> où <var>XXX</var> est le numéro du
+ bogue.
+<p>
+Rappelez-vous qu'il n'est pas obligatoire de fermer les bogues en utilisant le
+ <file>changelog</file> tel que décrit ci-dessus. Si vous désirez simplement
+ fermer les bogues qui n'ont rien à voir avec l'un de vos envois, faites-le
+ simplement en envoyant une explication à
+ <email>XXX-done@&bugs-host;</email>. Vous <strong>ne devez pas</strong> pas
+ fermer des bogues dans une entrée de changelog d'une version si les
+ changements dans cette version n'ont rien à voir avec le bogue.
+<p>
+Pour une information plus générale sur ce qu'il faut mettre dans les entrées de
+changelog, veuillez vous reporter aux <ref id="bpp-debian-changelog">.
+
+ <sect1 id="bug-security">Gérer les bogues de sécurité
+<p>
+À cause de leur nature sensible, les bogues liés à la sécurité doivent être
+ soigneusement traités. L'équipe de sécurité de Debian est là pour coordonner
+ cette activité, pour faire le suivi des problèmes de sécurité en cours, pour
+ aider les responsables ayant des problèmes de sécurité ou pour les corriger
+ elle-même, pour envoyer les annonces de sécurité et pour maintenir le site
+ security.debian.org.
+
+ <sect2 id="bug-security-you">Que faire si vous apprenez l'existence d'un
+ problème de sécurité ?
+<p>
+Si vous prenez connaissance d'un bogue lié à un problème de sécurité sur un
+ paquet Debian, que vous soyez ou non le responsable, regroupez les
+ informations pertinentes sur le problème et contactez rapidement l'équipe de
+ sécurité à &email-security-team;. Les informations utiles incluent, par
+ exemple :
+
+ <list compact>
+ <item>
+ les versions du paquet connues pour être affectées par le bogue. Vérifiez
+ chaque version présente dans les distributions maintenues par Debian ainsi
+ que dans <em>testing</em> et dans <em>unstable</em>,
+ </item>
+ <item>
+ la nature d'une solution si elle est disponible (les correctifs sont
+ particulièrement utiles),
+ </item>
+ <item>
+ tout paquet corrigé que vous avez vous-même préparé (envoyez seulement les
+ fichiers <file>.diff.gz</file> et <file>.dsc</file>),
+ </item>
+ <item>
+ toute information nécessaire pour l'annonce de sécurité (voir <ref
+ id="bug-security-advisories">).
+ </item>
+ </list>
+
+ <sect2 id="bug-security-confidentiality">Confidentialité
+<p>
+À la différence de la plupart des autres activités au sein de Debian, les
+ informations sur les problèmes de sécurité doivent parfois être gardées en
+ privé pour un certain temps. Cette décision dépend de la nature du problème
+ et de l'existence d'une solution correspondante et également s'il s'agit d'un
+ fait connu publiquement.
+<p>
+Il existe plusieurs façons pour un développeur de prendre connaissance d'un
+problème de sécurité :
+
+<list compact>
+ <item>
+ il le remarque sur un forum public (liste de diffusion, site web, etc.),
+ </item>
+ <item>
+ quelqu'un remplit un rapport de bogue,
+ </item>
+ <item>
+ quelqu'un l'informe par courrier privé.
+ </item>
+</list>
+
+Dans les deux premiers cas, l'information est publique et il est important
+d'avoir une solution le plus vite possible. Dans le dernier cas, cependant, ce
+n'est peut-être pas une information publique. Dans ce cas, il existe quelques
+options possibles pour traiter le problème :
+
+<list>
+<item>
+ si le problème est trivial (comme des fichiers temporaires non sécurisés),
+ il n'y a pas besoin de garder le secret sur le problème et une correction
+ devrait être effectuée et diffusée,
+</item>
+<item>
+ si le problème est grave (exploitable à distance, possibilité d'accéder
+ aux privilèges d'administratation), il est préférable de partager cette
+ information avec d'autres vendeurs et de coordonner une diffusion.
+ L'équipe de sécurité garde des contacts avec les différentes organisations
+ et individus et peut prendre soin des actions à mener.
+</item>
+</list>
+
+<p>
+Dans tous les cas, si la personne qui indique le problème demande à ne pas
+diffuser l'information, cela devrait être respecté avec l'évidente exception
+d'informer l'équipe de sécurité (assurez-vous d'informer l'équipe de sécurité
+que l'information ne doit pas être révélée).
+
+<p>Veuillez noter que si le secret est nécessaire, vous ne pourrez pas envoyer
+un correctif vers <em>unstable</em> (ou ailleurs) puisque les informations de
+changelog et de diff sont publiques pour <em>unstable</em>.
+
+<p>Il existe deux raisons pour diffuser l'information même si le secret est
+demandé : le problème est connu depuis un certain temps ou le problème ou
+son exploitation est devenu public.
+
+ <sect2 id="bug-security-advisories">Annonces de sécurité
+<p>
+Les annonces de sécurité ne sont émises que pour la distribution actuelle
+ diffusée <em>stable</em>, pas pour <em>testing</em> ou <em>unstable</em>.
+ Quand elle est diffusée, l'annonce est envoyée à la liste de diffusion
+ &email-debian-security-announce; et elle est postée sur <url
+ id="&url-debian-security-advisories;" name="la page de sécurité">. Les
+ annonces de sécurité sont écrites et postées par les membres de l'équipe de sécurité.
+ Cependant, ils ne verront aucun inconvénient à ce qu'un responsable leur
+ apporte des informations ou écrive une partie du texte. Les informations qui
+ devraient être présentes dans une annonce incluent :
+<list compact>
+<item>
+ une description du problème et de sa portée, y compris :
+ <list>
+ <item>
+ le type du problème (escalade de privilège, déni de service,
+ etc.),
+ </item>
+ <item>
+ comment il peut être exploité,
+ </item>
+ <item>
+ si le problème peut être exploité à distance ou localement,
+ </item>
+ <item>
+ comment le problème a été corrigé,
+ </item>
+ </list>
+</item>
+<item>
+ les numéros de version des paquets affectés,
+</item>
+<item>
+ les numéros de version des paquets corrigés,
+</item>
+<item>
+ une information sur la façon de récupérer les paquets mis à jour,
+</item>
+<item>
+ des références à des annonces amont, des identifiants <url
+ id="http://cve.mitre.org" name="CVE"> et toute autre information utile
+ pour recouper les références de la vulnérabilité.
+</item>
+</list>
+
+ <sect2 id="bug-security-building">
+ <heading>Préparer les paquets pour corriger des problèmes de sécurité
+<p>
+Une façon d'aider l'équipe de sécurité dans ses travaux est de fournir des
+ paquets corrigés convenables pour une annonce de sécurité pour la version
+ <em>stable</em> de Debian
+<p>
+Quand une mise à jour de la version <em>stable</em> est effectuée, un soin
+ particulier doit être apporté pour éviter de modifier le comportement du
+ système ou d'introduire de nouveaux bogues. Pour cela, faites le moins de
+ changements possibles pour corriger le bogue. Les utilisateurs et les
+ administrateurs s'attendent à un comportement identique dans une version
+ lorsque celle-ci est diffusée, donc tout changement qui est fait est
+ susceptible de casser le système de quelqu'un. Ceci est spécialement vrai pour
+ les bibliothèques : assurez-vous ne de jamais changer l'API ou l'ABI,
+ quelque minimal que soit le changement.
+<p>
+Cela veut dire que passer à une version amont supérieure n'est pas une bonne
+solution. À la place, les changements pertinents devraient être rétro-portés
+vers la version présente dans la distribution <em>stable</em> de Debian.
+Habituellement, les développeurs amont veulent bien aider. Sinon, l'équipe de
+sécurité Debian peut le faire.
+<p>
+Dans certains cas, il n'est pas possible de rétro-porter un correctif de
+sécurité, par exemple, quand de grandes quantités de code source doivent être
+modifiées ou réécrites. Si cela se produit, il peut être nécessaire de passer à
+une nouvelle version amont. Cependant, vous devez toujours coordonner cela avec
+l'équipe de sécurité au préalable.
+<p>
+Il existe une autre règle de conduite liée à cela : testez toujours vos
+changements. Si une exploitation du problème existe, essayez-la et
+vérifiez qu'elle réussit sur le paquet non corrigé et échoue sur le paquet
+corrigé. Testez aussi les autres actions normales car parfois un correctif de
+sécurité peut casser de manière subtile des fonctionnalités qui ne semblent pas
+liées.
+<p>
+Examinez et testez autant que possible vos changements. Vérifiez les différences
+avec la version précédente de manière répétée (<prgn>interdiff</prgn> du
+paquet <package>patchutils</package> et <prgn>debdiff</prgn> du paquet
+<package>devscripts</package> sont des outils utiles pour cela, voir <ref
+id="debdiff">).
+<p>
+Lors de la construction de la correction, gardez les points suivants à
+l'esprit :
+
+<list>
+<item>
+ Assurez-vous que vous avez pour cible la bonne distribution dans votre
+ fichier <file>debian/changelog</file>. Pour <em>stable</em>, il s'agit de
+ <tt>stable-security</tt> et pour <em>testing</em>, c'est
+ <tt>testing-security</tt> et pour l'ancienne distribution stable, c'est
+ <tt>oldstable-security</tt>. Ne ciblez pas
+ <var>distribution</var>-proposed-updates !
+</item>
+<item>
+ Assurez-vous que le numéro de version est correct. Il doit être plus élevé
+ que celui du paquet actuel, mais moins que ceux des paquets des versions
+ des distributions suivantes. En cas de doute, testez-le avec <tt>dpkg
+ --compare-versions</tt>. Pour <em>testing</em>, il doit y avoir un numéro
+ de version supérieur dans <em>unstable</em>. S'il n'y en a pas encore (par
+ exemple, si <em>testing</em> et <em>unstable</em> ont la même version),
+ vous devez envoyer une nouvelle version vers <em>unstable</em> en premier.
+</item>
+<item>
+ Ne faites pas d'envoi de source seul si votre paquet possède un ou
+ plusieurs paquets binary-all (n'utilisez pas l'option <tt>-S</tt> de
+ <prgn>dpkg-buildpackage</prgn>). L'infrastructure <prgn>buildd</prgn> ne
+ construira pas ceux-ci. Ce point s'applique aux envois de paquets normaux
+ également.
+</item>
+<item>
+ Si la source amont a été envoyée auparavant à security.debian.org (par une
+ précédente mise à jour de sécurité), construisez le paquet sans la source
+ amont (<tt>dpkg-buildpackage -sd</tt>). Sinon, construisez-le avec le
+ source complet (<tt>dpkg-buildpackage -sa</tt>).
+</item>
+<item>
+ Assurez-vous d'utiliser exactement le même nom <file>*.orig.tar.gz</file>
+ que celui utilisé dans l'archive normale, sinon il ne sera pas possible de
+ déplacer plus tard le correctif de sécurité dans l'archive principale.
+</item>
+<item>
+ Assurez-vous, lors de la compilation du paquet, de compiler sur un système
+ propre, dont tous les paquets appartiennent à la distribution pour laquelle vous
+ construisez le paquet. Si vous n'avez pas un tel système, vous pouvez
+ utiliser l'une des machines de debian.org (voir <ref
+ id="server-machines">) ou mettez en place un chroot (voir <ref id=
+ "pbuilder"> et <ref id="debootstrap">).
+</item>
+</list>
+
+ <sect2 id="bug-security-upload">Mettre à jour le paquet corrigé
+<p>
+Vous <em>NE DEVEZ PAS</em> envoyer un paquet dans la file d'attente des envois de sécurité
+sans l'accord préalable de l'équipe de sécurité. Si le paquet ne remplit pas
+exactement les exigences de l'équipe, il causera beaucoup de problèmes, ainsi
+que des délais dans la gestion de l'envoi indésirable.
+<p>
+Vous <em>NE DEVEZ PAS</em> envoyer votre correction dans
+<em>proposed-updates</em> sans vous coordonner avec l'équipe de sécurité. Les
+paquets seront copiés de security.debian.org dans le répertoire
+<file>proposed-updates</file> automatiquement. Si un paquet avec le même numéro
+de version ou un numéro plus grand est déjà installé dans l'archive, la mise à
+jour de sécurité sera rejetée par le système d'archive. Ainsi, la distribution
+<em>stable</em> se retrouvera à la place sans la mise à jour de sécurité de ce
+paquet.
+<p>
+Une fois que vous avez créé et testé le nouveau paquet et qu'il a été approuvé
+par l'équipe de sécurité, il doit être envoyé pour être installé dans les
+archives. Pour les envois de sécurité, l'adresse d'envoi est
+<tt>ftp://security.debian.org/pub/SecurityUploadQueue/</tt>.
+
+<p>
+Une fois que l'envoi vers la file d'attente de sécurité a été accepté, le paquet sera
+automatiquement recompilé pour toutes les architectures et stocké pour
+vérification par l'équipe de sécurité.
+
+<p>
+Les envois en attente d'acceptation ou de vérification ne sont accessibles que
+par l'équipe de sécurité. C'est nécessaire car il pourrait y avoir des
+correctifs pour des problèmes de sécurité qui ne peuvent pas encore être
+diffusés.
+
+<p>
+Si une personne de l'équipe de sécurité accepte un paquet, il sera installé sur
+security.debian.org ainsi que dans le répertoire
+<var>distribution</var>-proposed-updates qui convient sur ftp-master ou dans
+l'archive non-US.
+
+ <sect id="archive-manip">
+ <heading>Déplacer, effacer, changer le nom, adopter et abandonner des paquets
+<p>
+Certaines manipulations de l'archive ne sont pas possibles avec le processus
+ de mise à jour automatisé. Elles sont appliquées manuellement par les
+ développeurs. Ce chapitre décrit ce qu'il faut faire dans ces situations.
+
+ <sect1 id="moving-pkgs">Déplacer des paquets
+<p>
+Parfois, un paquet pourra changer de section. Une nouvelle version d'un paquet
+ de la section <tt>non-free</tt> pourrait, par exemple, être distribuée sous
+ licence GNU GPL ; dans ce cas, le paquet doit être déplacé dans la section
+ <tt>main</tt> ou <tt>contrib</tt><footnote><p>Reportez-vous à la <url
+ id="&url-debian-policy;" name="charte Debian"> pour savoir dans quelle section
+ un paquet doit être classé.</footnote>.
+<p>
+Si vous avez besoin de modifier la section de l'un de vos paquets, modifiez les
+ informations de contrôle du paquet pour le placer dans la section désirée et
+ téléchargez à nouveau votre paquet dans l'archive. Reportez-vous à la <url
+ id="&url-debian-policy;" name="charte Debian"> pour en savoir plus. Si votre
+ nouvelle section est valide, il sera déplacé automatiquement. Si ce n'est pas
+ le cas, contactez les responsables ftp pour comprendre ce qui s'est passé.
+<p>
+Si vous avez besoin de modifier la sous-section de l'un de vos paquets
+ (<tt>devel</tt> ou <tt>admin</tt> par exemple), la procédure est légèrement
+ différente. Modifiez la sous-section dans le fichier de contrôle de votre
+ paquet et téléchargez-le. Il vous faudra ensuite demander la modification du
+ fichier <em>override</em> comme décrit dans la section <ref
+ id="override-file">.
+
+
+ <sect1 id="removing-pkgs">Supprimer des paquets
+<p>
+Si, pour une raison ou une autre, vous avez besoin de supprimer un paquet de
+ l'archive (disons qu'il s'agit d'une vieille bibliothèque devenue inutile, que
+ l'on conservait pour des raisons de compatibilité), il vous faudra envoyer un
+ rapport de bogue concernant le pseudo-paquet <tt>ftp.debian.org</tt> et
+ demander sa suppression. N'oubliez pas de préciser de quelle distribution le
+ paquet doit être supprimé. Normalement, vous ne devriez avoir à supprimer que
+ des paquets d'<em>unstable</em> ou de <em>experimental</em>. Les paquets de
+ <em>testing</em> ne sont pas supprimés directement. Ils sont plutôt enlevés
+ automatiquement après que le paquet a été supprimé d'<em>unstable</em> et
+ si aucun paquet de <em>testing</em> n'en dépend.
+<p>
+Vous devez également détailler les raisons justifiant cette demande. Ceci a pour
+ but d'éviter les suppressions non désirées et de garder une trace de la raison
+ pour laquelle un paquet a été supprimé. Par exemple, vous pouvez fournir le nom
+ du paquet qui remplace celui à supprimer.
+<p>
+Vous ne pouvez demander la suppression d'un paquet que si vous en
+ êtes le responsable. Si vous voulez supprimer un autre paquet, vous devez
+ obtenir l'accord de son dernier responsable.
+<p>
+Si vous ne savez pas bien si un paquet peut être supprimé, demandez l'avis des
+ autres développeurs sur la liste &email-debian-devel;. Le programme
+ <prgn>apt-cache</prgn> du paquet <package>apt</package> pourra aussi vous être
+ utile. La commande <tt>apt-cache showpkg <var>paquet</var> </tt> vous
+ indiquera, entre autres, les paquets qui dépendent de <var>paquet</var>.
+<p>
+Une fois que le paquet a été supprimé, les bogues du paquet doivent être gérés.
+ Soit ils sont réattribués à un autre paquet dans le cas où le code actuel a
+ évolué en un autre paquet (par exemple, <tt>libfoo12</tt> a été supprimé parce
+ que <tt>libfoo13</tt> le remplace) ou ils sont fermés si le logiciel ne fait
+ simplement plus partie de Debian.
+
+ <sect2>Supprimer des paquets dans <tt>Incoming</tt>
+<p>
+Par le passé, il était possible de supprimer un paquet de <file>Incoming</file>.
+ Cependant, ce n'est plus possible depuis la mise en place du nouveau système
+ de file d'attente. Il vous faudra télécharger une nouvelle version de votre
+ paquet avec un numéro de version postérieur à celui que vous voulez
+ remplacer. Les deux versions seront installées dans l'archive mais seule la
+ plus récente sera accessible dans <em>unstable</em> car la précédente sera
+ immédiatement remplacée par la nouvelle. Toutefois, si vous testez
+ correctement vos paquets, le besoin d'en remplacer un ne devrait pas être
+ trop fréquent.
+
+ <sect1>Remplacer un paquet ou changer son nom
+<p>
+Il peut vous arriver de vous tromper en nommant un paquet et de vouloir
+changer son nom. Dans ce cas, vous devrez intervenir en deux étapes. D'abord, modifiez
+ votre fichier <file>debian/control</file> pour que votre nouveau paquet
+ remplace et entre en conflit avec l'ancien paquet que vous voulez remplacer
+ (reportez-vous à la <url id="&url-debian-policy;" name="charte Debian"> pour
+ les détails). Une fois que votre paquet est installé dans l'archive, faites un
+ rapport de bogue concernant le pseudo-paquet <tt>ftp.debian.org</tt> et
+ demandez la suppression du paquet mal nommé. N'oubliez pas de réattribuer
+ correctement les bogues du paquet en même temps.
+<p>
+D'autres fois, vous pouvez commettre une erreur en construisant le paquet et
+vous désirez le remplacer. La seule façon de faire est d'incrémenter le numéro de
+ version et d'envoyer une nouvelle version. L'ancienne version expirera de la
+ façon habituelle. Notez que ceci s'applique à chaque partie de votre paquet, y
+ compris les sources : si vous désirez remplacer l'archive source amont de
+ votre paquet, vous devez l'envoyer avec un numéro de version différent. Une
+ possibilité simple est de remplacer <file>foo_1.00.orig.tar.gz</file> par
+ <file>foo_1.00+0.orig.tar.gz</file>. Cette restriction donne à chaque fichier
+ du site ftp un nom unique, ce qui aide à garantir la consistance dans le réseau
+ des miroirs.
+
+ <sect1 id="orphaning">Abandonner un paquet
+<p>
+Si vous ne pouvez plus maintenir un paquet, vous devez en informer les autres et
+ faire le nécessaire pour qu'il soit marqué <em>abandonné</em> (i.e.
+ <em>orphaned</em>). Vous devriez aussi remplacer votre nom par <tt>Debian QA
+ Group &orphan-address;</tt> dans le champ <tt>maintainer</tt> du paquet et
+ faire un rapport de bogue sur le pseudo-paquet <package>wnpp</package>. Le
+ titre de votre rapport de bogue devrait être
+ « <tt>O<footnote><p><em>Orphaned</em> : abandonné.</footnote>:
+ <var>paquet</var> — <var>courte description</var></tt> » pour
+ indiquer que le paquet est abandonné. La gravité du bogue sera
+ <em>normale</em>. Si vous le jugez nécessaire, envoyez une copie à
+ &email-debian-devel; en mettant cette adresse dans le champ X-Debbugs-CC: de
+ l'en-tête du message. N'utilisez pas le champ CC: car de cette manière le sujet
+ du message ne contiendra pas le numéro du bogue.
+<p>
+Si le paquet est particulièrement important pour la distribution, il vous faudra
+ faire un rapport de bogue sur le pseudo-paquet <package>wnpp</package>,
+ l'intituler « <tt>RFA<footnote><p><em>Request For Adoption</em> :
+ offre d'adoption.</footnote>: <var>paquet</var> — <var>courte
+ description</var></tt> » et lui affecter la gravité <em>importante</em>.
+ Envoyez une copie de votre rapport de bogue à la liste debian-devel comme
+ décrit ci-dessus.
+<p>
+Reportez-vous à la page WNPP<footnote><p><em>Work-needing and prospective
+ packages</em> : paquets en souffrance et paquets souhaités.</footnote>
+ <url id="&url-wnpp;"> pour en savoir plus.
+
+ <sect1 id="adopting">Adopter un paquet
+<p>
+Une liste des paquets en attente de nouveau responsable est disponible à la page
+ <url id="&url-wnpp;" name="paquets en souffrance et paquets souhaités">. Si
+ vous voulez prendre en charge un paquet de cette liste, reportez-vous à la page
+ mentionnée ci-dessus pour connaître la procédure à suivre.