Druckreife Version Sicherheitspolitik - 2. Antwortzeiten und sofortige Aktionen
Antwortzeiten und Aktionen hängen in großem Maße von der Schwere der Sicherheitslücke ab, das die Software in einem Fink-Paket verursacht. Das Fink Core Team wird sofort aktiv werden, wenn es zum Schluss kommt, dass die Gemeinschaft der Fink-Nutzer geschützt werden muss.
2.1 Antwortzeiten
Für jedes Paket sollte versucht werden, die folgenden Antwortzeiten einzuhalten. Bei entsprechenden Sicherheitslücken behält sich das Fink Core Team das Recht vor, sofort aktiv zu werden. In solchen Fällen wird dann ein Mitglied des Core Teams den Paket-Betreuer informieren. Beachten sie aber bitte, dass Fink ein Projekt ist, das von Freiwilligen getragen wird und deshalb letztlich keine Garantien gegeben werden können.
| Sicherheitslücken | Antwortzeit |
|---|---|
| remote Root-Exploit |
minimal: sofort; maximal: 12 Stunden. |
| lokaler Root-Exploit |
minimal: 12 Stunden; maximal: 36 Stunden. |
| remote DOS |
minimal: 6 Stunden; maximal: 12 Stunden. |
| lokaler DOS |
minimal: 24 Stunden; maximal: 72 Stunden. |
| remote Datenverlust |
minimal: 12 Stunden; maximal: 24 Stunden. |
| lokaler Datenverlust |
minimal: 24 Stunden; maximal: 72 Stunden. |
2.2 Erzwungene Aktualisierungen
Ein Mitglied des Fink Core Team kann entscheiden, dass ein Paket aktualisiert werden muss, ohne dass eine Reaktion des Paket-Betreuers abgewartet wird. Dies wird erzwungenge Aktualisierung genannt. Wird die maximale Antwortzeit für eine bestimmte Sicherheitslücke in einem Fink-Paket überschritten, führt dies ebenfalls zu einer erzwungengen Aktualisierung.
Weiter: 3. Quellen für Sicherheitslücken