+Dans les deux premiers cas, l'information est publique et il est important
+d'avoir une solution le plus vite possible. Dans le dernier cas, cependant, ce
+n'est peut-être pas une information publique. Dans ce cas, il existe quelques
+options possibles pour traiter le problème :
+
+<list>
+<item>
+ si l'exposition de sécurité est mineure, il n'y a parfois pas besoin de
+ garder le secret sur le problème et une correction devrait être effectuée
+ et diffusée,
+</item>
+<item>
+ si le problème est grave, il est préférable de partager cette
+ information avec d'autres vendeurs et de coordonner une diffusion.
+ L'équipe de sécurité garde des contacts avec les différentes organisations
+ et individus et peut prendre soin des actions à mener.
+</item>
+</list>
+
+<p>
+Dans tous les cas, si la personne qui indique le problème demande à ce que
+l'information ne soit pas diffusée, cela devrait être respecté avec l'évidente exception
+d'informer l'équipe de sécurité pour qu'une correction puisse être effectuée
+pour la version stable de Debian. Quand vous envoyez des informations
+confidentielles à l'équipe de sécurité, assurez-vous de bien mentionner ce fait.
+
+<p>Veuillez noter que si le secret est nécessaire, vous ne pourrez pas envoyer
+un correctif vers <em>unstable</em> (ou ailleurs) puisque les informations de
+changelog et de diff sont publiques pour <em>unstable</em>.
+
+<p>Il existe deux raisons pour diffuser l'information même si le secret est
+demandé : le problème est connu depuis un certain temps ou le problème ou
+son exploitation est devenu public.
+
+ <sect2 id="bug-security-advisories">Annonces de sécurité
+<p>
+Les annonces de sécurité ne sont émises que pour la distribution actuelle
+ diffusée <em>stable</em>, <em>PAS</em> pour <em>testing</em> ou <em>unstable</em>.
+ Quand elle est diffusée, l'annonce est envoyée à la liste de diffusion
+ &email-debian-security-announce; et elle est postée sur <url
+ id="&url-debian-security-advisories;" name="la page de sécurité">. Les
+ annonces de sécurité sont écrites et postées par les membres de l'équipe de sécurité.
+ Cependant, ils ne verront aucun inconvénient à ce qu'un responsable leur
+ apporte des informations ou écrive une partie du texte. Les informations qui
+ devraient être présentes dans une annonce incluent :
+<list compact>
+<item>
+ une description du problème et de sa portée, y compris :
+ <list>
+ <item>
+ le type du problème (usurpation de privilège, déni de service,
+ etc.),
+ </item>
+ <item>
+ quels sont les privilèges obtenus et par quels utilisateurs (si c'est le
+ cas)
+ </item>
+ <item>
+ comment il peut être exploité,
+ </item>
+ <item>
+ si le problème peut être exploité à distance ou localement,
+ </item>
+ <item>
+ comment le problème a été corrigé,
+ </item>
+ </list>
+ Ces informations permettent aux utilisateurs d'estimer la menace pesant
+ sur leurs systèmes.
+
+</item>
+<item>
+ les numéros de version des paquets affectés,
+</item>
+<item>
+ les numéros de version des paquets corrigés,
+</item>
+<item>
+ une information sur la façon de récupérer les paquets mis à jour
+ (habituellement l'archive de sécurité Debian),
+</item>
+<item>
+ des références à des annonces amont, des identifiants <url
+ id="http://cve.mitre.org" name="CVE"> et toute autre information utile
+ pour recouper les références de la vulnérabilité.
+</item>
+</list>
+
+ <sect2 id="bug-security-building">
+ <heading>Préparer les paquets pour corriger des problèmes de sécurité
+<p>
+Une façon d'aider l'équipe de sécurité dans ses travaux est de leur fournir des
+ paquets corrigés convenables pour une annonce de sécurité pour la version
+ <em>stable</em> de Debian
+<p>
+Quand une mise à jour de la version <em>stable</em> est effectuée, un soin
+ particulier doit être apporté pour éviter de modifier le comportement du
+ système ou d'introduire de nouveaux bogues. Pour cela, faites le moins de
+ changements possibles pour corriger le bogue. Les utilisateurs et les
+ administrateurs s'attendent à un comportement identique dans une version
+ lorsque celle-ci est diffusée, donc tout changement qui est fait est
+ susceptible de casser le système de quelqu'un. Ceci est spécialement vrai pour
+ les bibliothèques : assurez-vous ne de jamais changer l'API ou l'ABI,
+ quelque minimal que soit le changement.
+<p>
+Cela veut dire que passer à une version amont supérieure n'est pas une bonne
+solution. À la place, les changements pertinents devraient être rétroportés
+vers la version présente dans la distribution <em>stable</em> de Debian.
+Habituellement, les développeurs amont veulent bien aider. Sinon, l'équipe de
+sécurité Debian peut le faire.
+<p>
+Dans certains cas, il n'est pas possible de rétroporter un correctif de
+sécurité, par exemple, quand de grandes quantités de code source doivent être
+modifiées ou récrites. Si cela se produit, il peut être nécessaire de passer à
+une nouvelle version amont. Cependant, ceci n'est fait que dans des situations
+extrêmes et vous devez toujours coordonner cela avec l'équipe de sécurité au
+préalable.
+<p>
+Il existe une autre règle de conduite liée à cela : testez toujours vos
+changements. Si une exploitation du problème existe, essayez-la et
+vérifiez qu'elle réussit sur le paquet non corrigé et échoue sur le paquet
+corrigé. Testez aussi les autres actions normales car parfois un correctif de
+sécurité peut casser de manière subtile des fonctionnalités qui ne semblent pas
+liées.
+<p>
+N'incluez <strong>PAS</strong> de changements dans votre paquet qui ne soient
+pas liés directement à la correction de la vulnérabilité. Ceux-ci devraient être
+ensuite enlevés et cela perd du temps. S'il y a d'autres bogues dans votre
+paquet que vous aimeriez corriger, faites un envoi vers
+proposed-updates de la façon habituelle, après l'envoi de l'alerte de sécurité.
+Le mécanisme de mise à jour de sécurité n'est pas un moyen d'introduire des
+changements dans votre paquet qui seraient sinon rejetés de la distribution
+stable, n'essayez donc pas de faire cela, s'il vous plaît.
+<p>
+Examinez et testez autant que possible vos changements. Vérifiez les différences
+avec la version précédente de manière répétée (<prgn>interdiff</prgn> du
+paquet <package>patchutils</package> et <prgn>debdiff</prgn> du paquet
+<package>devscripts</package> sont des outils utiles pour cela, voir <ref
+id="debdiff">).
+<p>
+Assurez-vous de conserver les points suivants à l'esprit :
+
+<list>
+<item>
+ Ciblez la bonne distribution dans votre
+ fichier <file>debian/changelog</file>. Pour <em>stable</em>, il s'agit de
+ <tt>stable-security</tt> et pour <em>testing</em>, c'est
+ <tt>testing-security</tt> et pour l'ancienne distribution stable, c'est
+ <tt>oldstable-security</tt>. Ne ciblez ni
+ <var>distribution</var>-proposed-updates, ni <tt>stable</tt> !
+</item>
+<item>L'envoi devra avoir « urgency=high ».
+</item>
+<item>
+ Fournissez des entrées de changelog descriptives et complètes. D'autres
+ personnes se baseront dessus pour déterminer si un bogue particulier a été
+ corrigé. Incluez toujours une référence externe, de préférence un
+ identifiant CVE, pour qu'elle puisse être recoupée. Incluez la même
+ information dans le changelog pour <em>unstable</em> pour qu'il soit clair
+ que le même bogue a été corrigé car cela est très utile pour vérifier que
+ le bogue a été corrigé pour la prochaine version stable. Si aucun
+ identifiant CVE n'a encore été assigné, l'équipe de sécurité en demandera
+ un pour qu'il puisse être inclus dans le paquet et dans le changelog.
+</item>
+<item>
+ Fournissez des entrées de changelog descriptives et complètes. D'autres
+ personnes se baseront dessus pour déterminer si un bogue particulier a été
+ corrigé. Quand cela est possible, incluez une référence externe, de
+ préférence, un identifiant CVE, pour qu'elle puisse être recoupée.
+</item>
+<item>
+ Assurez-vous que le numéro de version est correct. Il doit être plus élevé
+ que celui du paquet actuel, mais moins que ceux des paquets des versions
+ des distributions suivantes. En cas de doute, testez-le avec <tt>dpkg
+ --compare-versions</tt>. Soyez attentif à ne pas ré-utiliser un numéro de
+ version que vous auriez déjà utilisé pour un précédent envoi.
+ Pour <em>testing</em>, il doit y avoir un numéro
+ de version supérieur dans <em>unstable</em>. S'il n'y en a pas encore (par
+ exemple, si <em>testing</em> et <em>unstable</em> ont la même version),
+ vous devez envoyer une nouvelle version vers <em>unstable</em> en premier.
+</item>
+<item>
+ Ne faites pas d'envoi de source seul si votre paquet possède un ou
+ plusieurs paquets binary-all (n'utilisez pas l'option <tt>-S</tt> de
+ <prgn>dpkg-buildpackage</prgn>). L'infrastructure <prgn>buildd</prgn> ne
+ construira pas ceux-ci. Ce point s'applique aux envois de paquets normaux
+ également.
+</item>
+<item>
+ Sauf si la source amont a été envoyée auparavant à security.debian.org (par une
+ précédente mise à jour de sécurité), construisez le paquet avec la source
+ amont complète (<tt>dpkg-buildpackage -sa</tt>). S'il y a déjà eu un
+ précédent envoi à security.debian.org, vous pouvez faire un envoi sans le
+ paquet source (<tt>dpkg-buildpackage -sd</tt>).
+</item>
+<item>
+ Assurez-vous d'utiliser exactement le même nom <file>*.orig.tar.gz</file>
+ que celui utilisé dans l'archive normale, sinon il ne sera pas possible de
+ déplacer plus tard le correctif de sécurité dans l'archive principale.
+</item>
+<item>
+ Compilez le paquet sur un système
+ propre, dont tous les paquets appartiennent à la distribution pour laquelle vous
+ construisez le paquet. Si vous n'avez pas un tel système, vous pouvez
+ utiliser l'une des machines de debian.org (voir <ref
+ id="server-machines">) ou mettez en place un chroot (voir <ref id=
+ "pbuilder"> et <ref id="debootstrap">).
+</item>
+</list>
+
+ <sect2 id="bug-security-upload">Mettre à jour le paquet corrigé
+<p>
+Vous <em>NE</em> devez <em>PAS</em> envoyer un paquet dans la file d'attente des envois de sécurité
+(oldstable-security, stable-security, etc.)
+sans l'accord préalable de l'équipe de sécurité. Si le paquet ne remplit pas
+exactement les exigences de l'équipe, il causera beaucoup de problèmes, ainsi
+que des délais dans la gestion de l'envoi indésirable.
+<p>
+Vous <em>NE</em> devez <em>PAS</em> envoyer votre correction dans
+<em>proposed-updates</em> sans vous coordonner avec l'équipe de sécurité. Les
+paquets seront copiés de security.debian.org dans le répertoire
+<file>proposed-updates</file> automatiquement. Si un paquet avec le même numéro
+de version ou un numéro plus grand est déjà installé dans l'archive, la mise à
+jour de sécurité sera rejetée par le système d'archive. Ainsi, la distribution
+<em>stable</em> se retrouvera à la place sans la mise à jour de sécurité de ce
+paquet.
+<p>
+Une fois que vous avez créé et testé le nouveau paquet et qu'il a été approuvé
+par l'équipe de sécurité, il doit être envoyé pour être installé dans les
+archives. Pour les envois de sécurité, l'adresse d'envoi est
+<tt>ftp://security.debian.org/pub/SecurityUploadQueue/</tt>.
+
+<p>
+Une fois que l'envoi vers la file d'attente de sécurité a été accepté, le paquet sera
+automatiquement recompilé pour toutes les architectures et stocké pour
+vérification par l'équipe de sécurité.
+
+<p>
+Les envois en attente d'acceptation ou de vérification ne sont accessibles que
+par l'équipe de sécurité. C'est nécessaire car il pourrait y avoir des
+correctifs pour des problèmes de sécurité qui ne peuvent pas encore être
+diffusés.
+
+<p>
+Si une personne de l'équipe de sécurité accepte un paquet, il sera installé sur
+security.debian.org ainsi que dans le répertoire
+<var>distribution</var>-proposed-updates qui convient sur ftp-master ou dans
+l'archive non-US.
+
+ <sect id="archive-manip">
+ <heading>Déplacer, effacer, changer le nom, adopter et abandonner des paquets
+<p>
+Certaines manipulations de l'archive ne sont pas possibles avec le processus
+ de mise à jour automatisé. Elles sont appliquées manuellement par les
+ développeurs. Ce chapitre décrit ce qu'il faut faire dans ces situations.
+
+ <sect1 id="moving-pkgs">Déplacer des paquets
+<p>
+Il se peut qu'un paquet puisse changer de section. Une nouvelle version d'un paquet
+ de la section <tt>non-free</tt> pourrait, par exemple, être distribuée sous
+ licence GNU GPL ; dans ce cas, le paquet doit être déplacé dans la section
+ <tt>main</tt> ou <tt>contrib</tt><footnote><p>Reportez-vous à la <url
+ id="&url-debian-policy;" name="charte Debian"> pour savoir dans quelle section
+ un paquet doit être classé.</footnote>.
+<p>
+Si vous avez besoin de modifier la section de l'un de vos paquets, modifiez les
+ informations de contrôle du paquet pour le placer dans la section désirée et
+ téléchargez à nouveau votre paquet dans l'archive. Reportez-vous à la <url
+ id="&url-debian-policy;" name="charte Debian"> pour en savoir plus. Si votre
+ nouvelle section est valide, il sera déplacé automatiquement. Si ce n'est pas
+ le cas, contactez les responsables ftp pour comprendre ce qui s'est passé.
+<p>
+Si vous avez besoin de modifier la sous-section de l'un de vos paquets
+ (<tt>devel</tt> ou <tt>admin</tt> par exemple), la procédure est légèrement
+ différente. Modifiez la sous-section dans le fichier de contrôle de votre
+ paquet et téléchargez-le. Il vous faudra ensuite demander la modification du
+ fichier <em>override</em> comme décrit dans la section <ref
+ id="override-file">.
+
+
+ <sect1 id="removing-pkgs">Supprimer des paquets
+<p>
+Si, pour une raison ou une autre, vous avez besoin de supprimer un paquet de
+ l'archive (disons qu'il s'agit d'une vieille bibliothèque devenue inutile, que
+ l'on conservait pour des raisons de compatibilité), il vous faudra envoyer un
+ rapport de bogue concernant le pseudo-paquet <tt>ftp.debian.org</tt> et
+ demander sa suppression. N'oubliez pas de préciser de quelle distribution le
+ paquet doit être supprimé. Normalement, vous ne devriez avoir à supprimer que
+ des paquets d'<em>unstable</em> ou de <em>experimental</em>. Les paquets de
+ <em>testing</em> ne sont pas supprimés directement. Ils sont plutôt enlevés
+ automatiquement après que le paquet a été supprimé d'<em>unstable</em> et
+ si aucun paquet de <em>testing</em> n'en dépend.
+<p>
+Vous devez également détailler les raisons justifiant cette demande. Ceci a pour
+ but d'éviter les suppressions non désirées et de garder une trace de la raison
+ pour laquelle un paquet a été supprimé. Par exemple, vous pouvez fournir le nom
+ du paquet qui remplace celui à supprimer.
+<p>
+Vous ne pouvez demander la suppression d'un paquet que si vous en
+ êtes le responsable. Si vous voulez supprimer un autre paquet, vous devez
+ obtenir l'accord de son responsable.
+<p>
+Si vous ne savez pas bien si un paquet peut être supprimé, demandez l'avis des
+ autres développeurs sur la liste &email-debian-devel;. Le programme
+ <prgn>apt-cache</prgn> du paquet <package>apt</package> pourra aussi vous être
+ utile. La commande <tt>apt-cache showpkg <var>paquet</var> </tt> vous
+ indiquera, entre autres, les paquets qui dépendent de <var>paquet</var>.
+ Le retrait de paquets orphelins est discuté sur &email-debian-qa;.
+<p>
+Une fois que le paquet a été supprimé, les bogues du paquet doivent être gérés.
+ Soit ils sont réattribués à un autre paquet dans le cas où le code actuel a
+ évolué en un autre paquet (par exemple, <tt>libfoo12</tt> a été supprimé parce
+ que <tt>libfoo13</tt> le remplace) ou ils sont fermés si le logiciel ne fait
+ simplement plus partie de Debian.
+
+ <sect2>Supprimer des paquets dans <tt>Incoming</tt>
+<p>
+Par le passé, il était possible de supprimer un paquet de <file>Incoming</file>.
+ Cependant, ce n'est plus possible depuis la mise en place du nouveau système
+ de file d'attente. Il vous faudra télécharger une nouvelle version de votre
+ paquet avec un numéro de version plus élevé que celui que vous voulez
+ remplacer. Les deux versions seront installées dans l'archive mais seule la
+ plus récente sera accessible dans <em>unstable</em> car la précédente sera
+ immédiatement remplacée par la nouvelle. Toutefois, si vous testez
+ correctement vos paquets, le besoin d'en remplacer un ne devrait pas être
+ trop fréquent.
+
+ <sect1>Remplacer un paquet ou changer son nom
+<p>
+Si vous vous trompez en nommant un paquet, vous devrez intervenir en deux
+ étapes pour changer son nom. D'abord, modifiez
+ votre fichier <file>debian/control</file> pour que votre nouveau paquet
+ remplace et entre en conflit avec l'ancien paquet que vous voulez remplacer
+ (reportez-vous à la <url id="&url-debian-policy;" name="charte Debian"> pour
+ les détails). Une fois que votre paquet est installé dans l'archive, faites un
+ rapport de bogue concernant le pseudo-paquet <tt>ftp.debian.org</tt> et
+ demandez la suppression du paquet mal nommé. N'oubliez pas de réattribuer
+ correctement les bogues du paquet en même temps.
+<p>
+D'autres fois, vous pouvez commettre une erreur en construisant le paquet et
+vous désirez le remplacer. La seule façon de faire est d'incrémenter le numéro de
+ version et d'envoyer une nouvelle version. L'ancienne version expirera de la
+ façon habituelle. Notez que ceci s'applique à chaque partie de votre paquet, y
+ compris les sources : si vous désirez remplacer l'archive source amont de
+ votre paquet, vous devez l'envoyer avec un numéro de version différent. Une
+ possibilité simple est de remplacer <file>foo_1.00.orig.tar.gz</file> par
+ <file>foo_1.00+0.orig.tar.gz</file>. Cette restriction donne à chaque fichier
+ du site ftp un nom unique, ce qui aide à garantir la consistance dans le réseau
+ des miroirs.
+
+ <sect1 id="orphaning">Abandonner un paquet
+<p>
+Si vous ne pouvez plus maintenir un paquet, vous devez en informer les autres et
+ faire le nécessaire pour qu'il soit marqué <em>abandonné</em> (i.e.
+ <em>orphaned</em>). Vous devriez aussi remplacer votre nom par <tt>Debian QA
+ Group &orphan-address;</tt> dans le champ <tt>maintainer</tt> du paquet et
+ faire un rapport de bogue sur le pseudo-paquet <package>wnpp</package>. Le
+ titre de votre rapport de bogue devrait être
+ « <tt>O<footnote><p><em>Orphaned</em> : abandonné.</footnote>:
+ <var>paquet</var> — <var>courte description</var></tt> » pour
+ indiquer que le paquet est abandonné. La gravité du bogue sera
+ <em>normale</em> ; si le paquet a une priorité standard ou supérieure,
+ elle devrait être <em>importante</em>. Si vous le jugez nécessaire, envoyez une copie à
+ &email-debian-devel; en mettant cette adresse dans le champ X-Debbugs-CC: de
+ l'en-tête du message. N'utilisez pas le champ CC: car de cette manière le sujet
+ du message ne contiendra pas le numéro du bogue.
+<p>
+Si vous avez simplement l'intention de donner le paquet, mais que vous pouvez
+conserver sa maintenance pour le moment, vous devriez à la place soumettre un
+rapport de bogue sur <package>wnpp</package> et l'intituler <tt>RFA: <var>paquet</var> --
+<var>description courte</var></tt>.
+<tt>RFA</tt> veut dire <em>Request For Adoption</em> (demande d'adoption).
+ <p>
+Vous pouvez trouver plus d'informations sur les <url id="&url-wnpp;" name="pages
+ web WNPP"><footnote><p><em>Work-needing and prospective
+ packages</em> : paquets en souffrance et paquets
+ souhaités.</footnote>.
+
+ <sect1 id="adopting">Adopter un paquet
+<p>
+Une liste des paquets en attente de nouveau responsable est disponible à la page
+ <url id="&url-wnpp;" name="paquets en souffrance et paquets souhaités">. Si
+ vous voulez prendre en charge un paquet de cette liste, reportez-vous à la page
+ mentionnée ci-dessus pour connaître la procédure à suivre.
+<p>
+Prendre un paquet parce qu'il vous semble que celui-ci est négligé n'est pas
+ correct — ce serait un détournement de paquet. Vous pouvez prendre
+ contact avec le responsable actuel et lui demander si vous pouvez prendre en
+ charge ce paquet. Si vous avez le sentiment qu'un responsable est parti sans
+ prévenir depuis un moment, veuillez vous reporter à <ref id="mia-qa">).
+<p>
+Généralement, vous ne pouvez pas adopter un paquet sans l'accord du responsable
+actuel. Même s'il vous ignore, ce n'est pas une raison pour le faire. Les
+plaintes à propos des responsables devraient être portées sur la liste de
+diffusion des développeurs. Si la discussion ne se termine pas par une
+conclusion positive et que le problème est de nature technique, considérez de
+porter le cas à l'attention du comité technique (voir la <url name="page web du
+comité technique" id="&url-tech-ctte;"> pour plus d'information).
+<p>
+Si vous reprenez un vieux paquet, vous voudrez sûrement que le système de suivi
+ des bogues indique que vous êtes le responsable du paquet. Cela se produira
+ automatiquement une fois que vous aurez installé une nouvelle version du paquet
+ dans l'archive avec le champ <tt>Maintainer</tt> à jour. Cela peut prendre
+ quelques heures après le téléchargement. Si vous pensez ne pas avoir de mise à
+ jour à faire pour un moment, vous pouvez utiliser le <ref
+ id="pkg-tracking-system"> pour recevoir les rapports de bogue. Cependant,
+ assurez-vous que cela ne pose aucun problème à l'ancien responsable de
+ continuer à recevoir les bogues durant ce temps.
+
+ <sect id="porting">Le portage
+<p>
+Debian accepte un nombre croissant d'architectures. Même si vous n'êtes pas un
+ porteur et même si vous n'utilisez qu'une architecture, il est de votre
+ responsabilité de développeur d'être attentif aux questions de
+ portabilité. C'est pourquoi il est important que vous lisiez ce chapitre
+ même si vous n'êtes pas un porteur.
+<p>
+Porter un paquet consiste à faire un paquet binaire pour des architectures
+ différentes de celle du paquet binaire fait par le responsable du paquet.
+ C'est une activité remarquable et essentielle. En fait, les porteurs sont
+ à l'origine de la plupart des compilations de paquets Debian. Pour un
+ paquet binaire <em>i386</em>, par exemple, il faut compter une
+ recompilation pour chaque autre architecture, soit un total de
+ &number-of-arches; recompilations.
+
+
+ <sect1 id="kind-to-porters">Être courtois avec les porteurs
+<p>