Charte de sécurité - 2. Délais de réponse et actions immédiates.
Les temps de réponse et les actions engagées dépendent principalement de la sévérité des pertes engendrées par un défaut dans un programme empaqueté pour Fink. Dans tous les cas de figure, l'équipe Fink Core engagera immédiatement les actions qu'elle jugera nécessaires pour protéger la communauté des utilisateurs de Fink.
2.1 Temps de réponse
Tout mainteneur de paquet doit faire son possible pour tenir les délais de réponse indiqués ci-dessous. L'équipe Fink Core peut décider d'engager des actions immédiates pour certains types de vulnérabilité. Dans ce cas, l'un des membres de l'équipe Fink Core devra notifier le mainteneur du paquet. Gardez toutefois à l'esprit que, bien que nous fassions tout notre possible pour tenir les délais, Fink est basé sur le bénévolat et que ces délais ne peuvent donc être garantis.
Vulnérabilité | Temps de réponse |
---|---|
Exploit à distance sur root |
minimum : immédiat; maximum : 12 heures. |
Exploit local sur root |
minimum : 12 heures ; maximum : 36 heures. |
Déni de service à distance |
minimum : 6 heures ; maximum : 12 heures. |
Déni de service local |
minimum : 24 heures ; maximum : 72 heures. |
Corruption de données à distance |
minimum : 12 heures ; maximum : 24 heures. |
Corruption locale de données |
minimum : 24 heures ; maximum : 72 heures. |
2.2 Mises à jour forcées
Un membre de l'équipe Fink Core peut décider de mettre à jour un paquet sans attendre que le mainteneur le fasse. On appelle cela une mise à jour forcée. Le fait de ne pas tenir le délai de réponse pour une vulnérabilité donnée dans un paquet de Fink entraîne également une mise à jour forcée de ce paquet.