Sicherheitspolitik - 1. Verantwortung
1.1 Wer ist verantwortlich?
Jedes Fink-Paket hat einen Betreuer. Man findet ihn, indem man
das Kommando fink info packagename
eingibt. Man erhält
eine Liste, die in etwa so aussieht: Maintainer: Fink Core Group
<fink-core@lists.sourceforge.net>. Dieser Betreuer hat
die volle Verantwortung für seine Pakete.
1.2 Wen soll ich kontaktieren?
Treten bei der Software eines Fink-Pakets Sicherheitslücken auf, sollten sie den Paket-Betreuer und das Fink Core Team informieren. Die Email-Adresse des Betreuers steht im Paket-Info, die des Fink Core Team ist fink-core@lists.sourceforge.net
1.3 Im-Voraus-Benachrichtigung
Bei schwerwiegenden Sicherheitslücken kann es erforderlich sein, den Paket-Betreuer im voraus zu benachrichtigen. Da es vorkommen kann, dass der Betreuer nicht rechtzeitig erreicht wird, sollte das Fink Security Team ebenfalls im voraus benachrichtigt werden. Die Email-Adressen der Teammitglieder sind weiter unten aufgeführt. Bitte beachten sie, dass fink-core@lists.sourceforge.net eine öffentlich archivierte Mailing-Liste ist und private Im-Voraus-Benachrichtigungen deshalb nie an diese Adresse geschickt werden dürfen.
1.4 Antwort
Eingeschickte Berichte über Sicherheitslücken werden vom Fink Core Team beantwortet. Von jedem Betreuer wird von Fink verlangt, jede einzelne Sicherheitslücke zu bestätigen. In dem unwahrscheinlichen Fall, dass der Betreuer nicht erreichbar ist und der Betreuer den Bericht nicht innnerhalb von 24 Stunden bestätigt, soll eine Notiz an das Fink Core Team gehen, in dem das Team informiert wird, dass der Betreuer nicht antwortet.
In dem Fall, dass sie versuchten, den Paket-Betreuer zu erreichen, aber das Mail-System einen Fehler bei der Zustellung meldet, sollten sie sofort das Fink Core Team darüber informieren, dass der Paket-Betreuer nicht erreicht werden konnte und dass das Paket unabhängig vom Betreuer aktualisiert werden muss.