diff options
Diffstat (limited to 'xml/htdocs/security/it/padawans.xml')
-rw-r--r-- | xml/htdocs/security/it/padawans.xml | 345 |
1 files changed, 345 insertions, 0 deletions
diff --git a/xml/htdocs/security/it/padawans.xml b/xml/htdocs/security/it/padawans.xml new file mode 100644 index 00000000..ecdf9c79 --- /dev/null +++ b/xml/htdocs/security/it/padawans.xml @@ -0,0 +1,345 @@ +<?xml version='1.0' encoding="UTF-8"?> +<!DOCTYPE guide SYSTEM "/dtd/guide.dtd"> +<!-- $Header: /var/cvsroot/gentoo/xml/htdocs/security/it/padawans.xml,v 1.11 2010/05/04 20:18:22 scen Exp $ --> + +<guide link="/security/it/padawans.xml" lang="it"> +<title>Processo e stato dei Security Padawans</title> + +<author title="Autore"> + <mail link="koon@gentoo.org">Thierry Carrez</mail> +</author> +<author title="Autore"> + <mail link="dercorny@gentoo.org">Stefan Cornelius</mail> +</author> +<author title="Autore"> + <mail link="falco@gentoo.org">Raphael Marichez</mail> +</author> +<author title="Autore"> + <mail link="rbu@gentoo.org">Robert Buchholz</mail> +</author> +<author title="Traduzione"> + <mail link="luigi.mantellini@idf-hit.com">Luigi 'Comio' Mantellini</mail> +</author> +<author title="Traduzione"> + <mail link="zanetti.massimo@gmail.com">Massimo Zanetti</mail> +</author> + +<abstract> +Questo documento descrive le procedure che si applicano al processo di +reclutamento del team di sicurezza e l'attuale stato di reclutamento. +</abstract> + +<!-- The content of this document is licensed under the CC-BY-SA license --> +<!-- See http://creativecommons.org/licenses/by-sa/1.0 --> +<license/> + +<version>0.3.8</version> +<date>2009-04-14</date> + +<chapter> +<title>Reclute Progetto Sicurezza</title> +<section> +<title>Padawan</title> +<body> + +<p> +Il processo di reclutamento nel gruppo di sviluppatori di sicurezza è differente +dal processo principale di reclutamento. La conoscenza delle specificità di +Gentoo non è così importante come potrebbe esserlo per altri tipi di +sviluppatore, dato che non saranno necessari i permessi di commit sul Portage +tree. Detto in altre parole, è necessario possedere un buon background in ambito +di sicurezza, buona conoscenza del'inglese scritto e si avranno progressivamente +maggiori responsabilità.. +</p> + +<p> +Tutto il processo di reclutamento può estendersi da 2 a 3 mesi, in funzione +delle capacità e conoscenze personali e dal tempo che si decide di investire nel +progetto. Parlando proprio del tempo: la maggior parte delle attività che +dovranno essere svolte coinvolgono meno di 10 minuti, ma bisogna poter reagire +ai problemi con una bassa latenza. Perciò, la dedizione costante è più +importante dell'avere grandi quantità di tempo libero. Le reclute del gruppo +sicurezza in addestramento saranno chiamate all'interno di questo documento come +<b>padawan</b>. +</p> + +</body> +</section> +<section> +<title>Stato corrente dei padawan</title> +<body> + +<table> +<tr> + <th>Nome del Padawan</th> + <th>Nome utente</th> + <th>Livello</th> + <th>Mentore</th> +</tr> +<!-- inactive (vorlon 2008-07-04) +<tr> +<ti>NeilK</ti> +<ti>mu-b</ti> +<ti>Scout</ti> +</tr> +--> +<tr> +<ti>Tomás Touceda</ti> +<ti>chiiph</ti> +<ti>Allievo</ti> +<ti>keytoaster</ti> +</tr> + +<tr> +<ti>Tony Vroon</ti> +<ti>Chainsaw</ti> +<ti>Allievo</ti> +<ti>a3li</ti> +</tr> + +<!-- inactive, rbu 2009-04-14<tr> +<ti>Emanuele Gentili</ti> +<ti>emgent</ti> +<ti>Scout</ti> +<ti>none yet</ti> +</tr>--> +<!-- nactive, a3li 2009-11-06<tr> +<ti>Lars Hartmann</ti> +<ti>psychoschlumpf</ti> +<ti>Allievo</ti> +<ti>attualmente nessuno</ti> +</tr> +--> +<tr> +<ti>Matti Bickel</ti> +<ti>mabi</ti> +<ti>allievo</ti> +<ti>attualmente nessuno</ti> +</tr> +<!-- inactive (vorlon 2008-07-04) +<tr> +<ti>Jule Slootbeek</ti> +<ti>dizzutch</ti> +<ti>Apprentice</ti> +</tr> +--> +<!-- inactive (vorlon 2008-07-04) +<tr> +<ti>Adir Abraham</ti> +<ti>adir</ti> +<ti>Apprentice</ti> +</tr> +--> +</table> + +<note> +Gli sviluppatori ed gli sviluppatori senior compaiono sulla pagina del <uri +link="/proj/en/security/index.xml">Progetto Sicurezza</uri>. +</note> + +</body> +</section> +</chapter> + +<chapter> +<title>Fasi del reclutamento</title> +<section> +<body> + +<p> +Per diventare un padawan, bisogna inviare una richiesta contenente informazioni +riguardanti le proprie conoscenze e qualifiche all'indirizzo <mail +link="security@gentoo.org">security@gentoo.org</mail> e collegarsi al canale IRC +#gentoo-security per avere una idea di come sono svolte le attività. È possibile +leggere la guida <uri link="/security/it/coordinator_guide.xml">Coordinatore +GLSA</uri> e se si è interessati al lavoro si può iniziare come uno Scout (ndt, +sentinella). +</p> + +</body> +</section> +<section> +<title>Scout</title> +<body> + +<p> +Il primo passo nell'adesione al team è quello di essere uno scout. Si dovranno +seguire le principali liste di discussione in materia di sicurezza e siti (a +a scelta) sottomettendo bug non ancora elencati in <uri +link="https://bugs.gentoo.org/buglist.cgi?query_format=advanced&short_desc_type=allwordssubstr&short_desc=&product=Gentoo+Security&long_desc_type=allwordssubstr&long_desc=&bug_file_loc_type=allwordssubstr&bug_file_loc=&status_whiteboard_type=allwordssubstr&status_whiteboard=&keywords_type=allwords&keywords=&bug_status=UNCONFIRMED&bug_status=NEW&bug_status=ASSIGNED&bug_status=REOPENED&emailassigned_to1=1&emailtype1=substring&email1=&emailassigned_to2=1&emailreporter2=1&emailcc2=1&emailtype2=substring&email2=&bugidtype=include&bug_id=&votes=&chfieldfrom=&chfieldto=Now&chfieldvalue=&cmdtype=doit&order=Reuse+same+sort+as+last+time&field0-0-0=noop&type0-0-0=noop&value0-0-0="> +Bug di Sicurezza correnti</uri>. È consigliabile ricercare eventuali bug +duplicati prima di sottometterne uno. Uno sviluppatore senior sarà assegnato +come proprio 'Mentore'. Lui sarà una guida rispondendo alle proprie domande +(comunque, non si esiti a contattare ulteriori sviluppatori senior per ulteriore +aiuto). È comunque saggio aggiunge la lista security@gentoo.org a quelle +monitorate. Per fare questo, è sufficiente aprire le impostazioni del proprio +account bugzilla, andare alla voce "Email Preferences" ed aggiungere +security@gentoo.org nel box in basso. Fatto questo, ogni email inviata +all'indirizzo security@gentoo.org, sarà recapitata al proprio indirizzo ad +eccezione di quelle con restrizioni. Questo aiuterà a rimanere aggiornati. +</p> + +<p> +Oltre a compilare nuovi bug report di sicurezza, si è invitati a trovarne una +eventuale soluzione ad essi (mettendo in CC i maintainer, modificando lo stato +del bug come descritto nella guida al Coordinatore GLSA). Sfortunatamente, +questo è permesso solo sui propri bug report. Si sarà autorizzati a modificare e +muovere altri bug report quando si diventerà uno sviluppatore in prova +(developer on probation). +</p> + +<p> +Cercare bug di sicurezza può essere molto difficoltoso e noioso, come un lavoro +da schiavo. Ci sono diversi modi per rendersi la vita più facile. Alcuni canali +principali, come Full-Disclosure, hanno un rateo segnale/rumore piuttosto basso, +ma ci sono anche altre <uri +link="http://oss-security.openwall.org/wiki/mailing-lists">mailing list</uri> +come oss-security che sono piu incentrate su venditori di distribuzioni. +Potreste anche essere interessati a canali secondari, ad esempio ci si puo +iscrivere a <uri link="https://secunia.com/advisories/">Secunia Advisories</uri> +attraverso una mailing list, o <uri +link="http://www.securityfocus.com/bid">BugTraq BIDs</uri> e <uri +link="http://cve.mitre.org/">CVE identifiers</uri> possono essere seguiti +tramite i feed RSS. Si possono trovare anche mezzi per gestire agilmente +identificativi CVE appena assegnati ed eseguire altri compiti di routine al link +<uri link="http://overlays.gentoo.org/proj/security/timeline">Security +SVN</uri>. Si prega di consultare il file README lì disponibile. +</p> + +<p> +InoltreÈ è possibile anche provare a trovare altre attività di proprio +interesse, come ad esempio aiutare altri sviluppatori che sono in ritardo con la +pacchettizzazione di ebuild e/o stabilizzando o verificando una vulnerabilità +dove non è sicuro se Gentoo ne sia affetta o meno. È possibile provare a +chiedere al proprio mentore per eventuali altre attività. +</p> + +<ul> + <li> + Si avrà bisogno di: un account su <uri + link="https://bugs.gentoo.org/createaccount.cgi">Gentoo bugzilla</uri> + </li> + <li>Verrà fornito: Nulla</li> + <li> + Tempo stimato per la promozione: da due settimane ad un mese, in funzione + dalle capacità ed abilità personali. + </li> +</ul> + +<note> +Sapete come cercare un bug tramite un identificatore CVE nel Bug tracker di +altre distribuzioni? Se no, trovatelo o chiedete al vostro mentore. +</note> + +</body> +</section> +<section> +<title>Allievo/Apprendista</title> +<body> + +<p> +Se si è fatto un buon lavoro come scout, si sarà invitati a diventare un +apprentice (ndt, allievo/apprendista), venendo aggiunti allo strumento segreto +chiamato 'GLSAMaker'. Si dovrà rispondere a bozze, commenti e revisioni di +avvisi di sicurezza. Si sarà anche responsabili della correzione di avvisi +abbozzati nel minor tempo possibile. Inoltre si dovrebbe comunque mantenere le +attività di scout. Abbozzare GLSA è solitamente più rilassante che andare a +caccia di bug, rendendo a questo punto più divertente iniziare il proprio +lavoro. +</p> + +<ul> + <li> + Si avrà bisogno di: Imparare le <uri + link="/security/it/vulnerability-policy.xml">Politiche di gestione delle + vulnerabilità in Gentoo Linux</uri> e la <uri + link="/security/it/coordinator_guide.xml">Guida Coordinatore GLSA</uri> + con cura + </li> + <li>Verrà fornito: Un account GLSAMaker</li> + <li> + Tempo stimato per la promozione: finché non si sarà confidenti sulle + capacità di abbozzare un avviso di sicurezza di qualità. Potrebbe prendere + intorno ad un mese se si è buoni. + </li> +</ul> + +<note> +Avete gia' letto piu' di una pagina su <uri +link="http://oss-security.openwall.org/wiki/">oss-security wiki</uri>? +</note> + +</body> +</section> +<section> +<title>Sviluppatore (in prova)</title> +<body> + +<p> +GLSA significativi e dedizione permettono di accedere alla fase successiva. +Verrà aperto dal team di sicurezza un bug di reclutamento permettendo di +attenere la magica potenza di poter modificare e muovere bug compilati da altri. +Verrà avviato un periodo di prova di 30 giorni in cui bisognerà rispondere +correttamente a quiz per poter diventare uno sviluppatore a pieno titolo. +Durante il periodo di prova, sarà necessario usare le nuove responsabilità, +dimostrando di essere pronti per gestire le stesse. +</p> + +<ul> + <li> + Si avrà bisogno di: tutto quello richiesto per diventare uno sviluppatore + Gentoo + </li> + <li> + Verrà fornito: Un account di sviluppatore Gentoo, adesione a + security@gentoo.org e diritti potenziati sul bugzilla + </li> + <li>Tempo stimato per la promozione: 30 giorni.</li> +</ul> + +</body> +</section> +<section> +<title>Sviluppatore</title> +<body> + +<p> +Alla fine del periodo di prova, si diventerà un Coordinatore GLSA a pieno titolo +potendo inviare e confermare i propri GLSA. Gloria e fama saranno con voi. +</p> + +<ul> + <li>Vi serviranno: Lacrime e sudore</li> + <li> + Vi forniremo: Diritti di commit GLSA, diritti di invio di gentoo-announce, + adesione al gruppo www_glsamaker, potere di approvazione di padawan + </li> +</ul> + +</body> +</section> +<section> +<title>Sviluppatore di sicurezza senior</title> +<body> + +<p> +Per raggiungere il santo graal del percorso di padawan ed avere infiniti poteri, +si dovrà passare attraverso i classici quiz per sviluppatori per guadagnare i +diritti di commit sul CVS del portage. Si dovrà dimostrare di non avere altra +vita fuori dal canale #gentoo-security. Quindi si avrà il potere di mascherare +eventualmente gli ebuild. +</p> + +<ul> + <li> + Si avrà bisogno di: superare con successo i quiz per sviluppatore Gentoo + </li> + <li> + Verrà fornito: Diritti di commit sul Portage per mascherare i pacchetti + </li> +</ul> + +</body> +</section> +</chapter> +</guide> |