<!ENTITY % dynamicdata SYSTEM "dynamic.ent" > %dynamicdata;
<!-- CVS revision of this document -->
- <!ENTITY cvs-rev "$Revision: 1.54 $">
+ <!ENTITY cvs-rev "$Revision: 1.56 $">
<!-- if you are translating this document, please notate the CVS
revision of the developers reference here -->
- <!-- <!ENTITY cvs-en-rev "1.271"> -->
+ <!-- <!ENTITY cvs-en-rev "1.282"> -->
<!-- how to mark a section that needs more work -->
<!ENTITY FIXME "<em>FIXME:</em> ">
problème.
</sect>
+<!-- Les 2 prochaines sections sont provisoirement commentées tant que
+ le bogue 337086 n'est pas clos -->
+<!--
<sect id="bpp-debian-security-audit">
- <heading>Les meilleures pratiques pour les revues et conception de sécurité</heading>
+ <heading>Les meilleures pratiques en matière de sécurité</heading>
<p>Si vous empaquetez un logiciel pour d'autres utilisateurs, vous devez
-vous efforcer de garantir que l'installation du logiciel, ou son
-utilisation, n'introduit pas de risques de sécurité soit pour le
-système sur lequel il est installé, soit pour ses utilisateurs.</p>
-
-<p>Vous devez vous efforcer de faire une revue du code source du paquet
-et détecter les problèmes qui pourraient introduire des bogues de
-sécurité. Les bogues de programmation entraînant des bogues de sécurité
-incluent généralement : <url
-id="http://en.wikipedia.org/wiki/Buffer_overflow" name="dépassements de
+vous efforcer de garantir que l'installation du logiciel et son
+utilisation n'introduisent pas de risques pour la sécurité du
+système sur lequel il est installé ou de ses utilisateurs.</p>
+
+<p>Vous devez vous efforcer d'examiner le code source du paquet
+et détecter les problèmes qui pourraient amener des bogues concernant la
+sécurité. Les erreurs de programmation qui entraînent des bogues concernant la sécurité
+sont généralement du type : <url
+id="http://en.wikipedia.org/wiki/Buffer_overflow" name="dépassement de
tampon">, <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement
de chaînes de formatage">, <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement
de tas"> et <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting" name="dépassement
-d'entiers"> (dans les programmes C/C++), <url
-id="http://en.wikipedia.org/wiki/Symlink_race" name="conditions de
-concurrence de lien symbolique"> temporaires (dans les scripts), <url
+d'entier"> (dans les programmes C/C++), <url
+id="http://en.wikipedia.org/wiki/Symlink_race" name="situation de
+concurrence entre liens symboliques"> temporaire (dans les scripts), <url
id="http://en.wikipedia.org/wiki/Directory_traversal" name="traversée de
répertoire"> et injection de commandes (dans les serveurs) et <url
id="http://en.wikipedia.org/wiki/Cross_site_scripting"
<p>Certains de ces problèmes peuvent ne pas être évidents à détecter à
moins d'être un expert dans le langage de programmation utilisé par le
-programme, mais certains problèmes de sécurité sont faciles à détecter et
-à corriger. Par exemple, trouver des conditions de concurrence
-temporaires dans un code source peut facilement être fait en exécutant
-<tt>grep -r "/tmp/" .</tt> dans le code source et en remplaçant les noms
+programme, mais d'autres sont faciles à détecter et
+à corriger. Par exemple, il est facile de trouver des situations de concurrence
+temporaires dans un code source : on peut exécuter
+<tt>grep -r "/tmp/" .</tt> dans le code source et remplacer les noms
de fichier codés en dur utilisant des répertoires temporaires par des
appels soit à <prgn>mktemp</prgn> ou à <prgn>tempfile</prgn> dans les
scripts shell, à <manref name="File::Temp" section="3perl"> dans les
scripts Perl, et à <manref name="tmpfile" section="3"> pour du C/C++.
Vous pouvez également utiliser des <url
id="http://www.debian.org/security/audit/tools" name="outils
-spécifiques"> pour assister la phase de revue du code de sécurité.</p>
+spécifiques"> qui facilitent la phase d'étude du code du point de vue de la sécurité.</p>
<p>Quand vous empaquetez un logiciel, assurez-vous que :
<list>
-<item>le logiciel fonctionne avec le minimum de privilèges dont il a besoin :
+<item>le logiciel fonctionne avec le minimum de privilèges :
<list>
<item>le paquet installe des binaires setuid ou setgid.
name="setuid et setgid">.
<item>les démons fournis par le paquet s'exécutent avec un utilisateur à
-privilège réduit (voir <ref id="bpp-lower-privs">)
+privilège réduit (voir <ref id="bpp-lower-privs">).
</list>
-<item>Les tãches programmées (par exemple, <prgn>cron</prgn>)
-fonctionnant dans le système ne s'exécutent PAS en tant que root ou si
+<item>les tâches programmées (par exemple, <prgn>cron</prgn>)
+ne s'exécutent PAS en tant que root ou si
elles le font, elles n'implémentent pas de tâches complexes.
</list>
-<p>Si vous avez l'un des cas ci-dessus, assurez-vous que les programmes
+<p>Si votre paquet se trouve dans l'un des cas ci-dessus, assurez-vous que les programmes
qui s'exécutent avec des privilèges plus élevés ont été audités pour les
bogues de sécurité. Si vous n'en êtes pas certain ou si vous avez besoin
d'aide, contactez l'<url
name="permissions et propriétaires">.
</p>
-<p>Pour plus d'informations spécifiques à la programmation sécurisée,
-assurez-vous de lire (ou de signaler au développeur amont) <url
+<p>Pour d'autres informations spécifiques à la programmation sécurisée,
+lisez (ou signalez au développeur amont) <url
id="http://www.dwheeler.com/secure-programs/" name="Secure Programming
for Linux and Unix HOWTO"> et le portail <url
id="https://buildsecurityin.us-cert.gov/portal/" name="Build Security
-In">. Pour plus d'informations spécifiques à la sécurité Debian, vous
+In">. Pour des informations spécifiques à la sécurité dans la distribution Debian, vous
pouvez lire le <url
id="http://www.debian.org/doc/manuals/securing-debian-howto/"
name="guide de sécurisation de Debian">.
</p>
+ -->
<!-- This should be explained here until #291177 gets fixed and this is
added to poliy -->
+<!--
<sect1 id="bpp-lower-privs">
<heading>Créer des groupes et des utilisateurs pour des démons
logiciels
</sect1>
</sect>
-
+ -->
<sect id="bpp-config-mgmt">
<heading>Gestion de la configuration avec <package>debconf</package></heading>