Add 2.0.0 security report

Signed-off-by: Marta Rybczynska <marta.rybczynska@linaro.org>

releases/2.0/2.0.0/index.rst

@@ -18,3 +18,4 @@
    requirements
    test_report
    ip_compliance_note
+   security_report

releases/2.0/2.0.0/release_notes.rst

@@ -149,6 +149,25 @@ IP Compliance
 This release comes with a detailed `IP Compliance note` accesible
 :ref:`here<2_0_0_IPComplianceNote>`.
 
+Security Status
+---------------
+
+This release comes with a detailed `Security report` with a list of known CVEs
+accessible :ref:`here<2_0_0_SecurityReport>`.
+
+As part of the Oniro continuous compliance process, all relevant metadata about
+compliance and security are collected at build time for every commit to the
+Oniro project repo, and can be inspected through a `dedicated dashboard`_. Open
+CVEs on single components data may be inspected by filtering components by
+status ("has unpatched CVEs") and by opening the component details: open CVEs
+are displayed first, marked in red and ordered by score, while closed CVEs are
+marked in green. The dashboard gets updated after every commit and contains a
+CVE status snapshot at the time of the commit. However, if some previously open
+CVEs are fixed, this would be visible by inspecting the component's previous
+variants in the dashboard.
+
+.. _dedicated dashboard: https://sca.software.bz.it/?json=https://gitlab.eclipse.org/eclipse/oniro-compliancetoolchain/mirrors/oniro-goofy/-/jobs/artifacts/kirkstone/raw/report.harvest.json?job=harvest
+
 Out of Scope
 ************
 

releases/2.0/2.0.0/security_report.rst

+.. SPDX-FileCopyrightText: Linaro Ltd
+
+.. SPDX-License-Identifier: CC-BY-4.0
+
+.. _2_0_0_SecurityReport:
+
+Security Test Report (as of Nov 25, 2022)
+=========================================
+
+The CVEs have been checked against the NVD database as of Nov 25th, 2022.
+
+qemu x86-64 CVE report (root filesystem only)
+---------------------------------------------
+
+Total number of known issues: 378
+
+Out of this, high severity (CVSSv3 >= 7.0): 122
+
+Complete results:
+
+.. code-block:: console
+
+    Issues for package curl (version 7.82.0):
+        CVE-2022-42915 CVE-2022-42916
+        Count: 2
+
+    Issues for package expat (version 2.4.9):
+        CVE-2022-43680
+        Count: 1
+
+    Issues for package podman (version 4.0.1+gitAUTOINC+717edd7b84):
+        CVE-2022-2989
+        Count: 1
+
+    Issues for package dropbear (version 2020.81):
+        CVE-2021-36369
+        Count: 1
+
+    Issues for package openssl (version 3.0.5):
+        CVE-2022-3358 CVE-2022-3602 CVE-2022-3786
+        Count: 3
+
+    Issues for package systemd (version 1_250.5):
+        CVE-2022-3821
+        Count: 1
+
+    Issues for package linux-oniro (version 5.10.152+gitAUTOINC+dd90d836c0_b2303e799c):
+        CVE-1999-0524 CVE-1999-0656 CVE-2006-2932 CVE-2007-2764 CVE-2007-4998 CVE-2008-2544
+        CVE-2008-4609 CVE-2010-0298 CVE-2010-4563 CVE-2014-2648 CVE-2014-8171 CVE-2016-0774
+        CVE-2016-3695 CVE-2016-3699 CVE-2017-1000255 CVE-2017-1000377 CVE-2017-6264
+        CVE-2018-1000026 CVE-2018-10840 CVE-2018-10876 CVE-2018-10882 CVE-2018-10901 CVE-2018-10902
+        CVE-2018-14625 CVE-2018-16880 CVE-2018-16884 CVE-2018-5873 CVE-2018-6559 CVE-2019-14899
+        CVE-2019-18910 CVE-2019-3016 CVE-2019-3819 CVE-2019-3846 CVE-2019-3887 CVE-2020-10732
+        CVE-2020-10742 CVE-2020-16119 CVE-2020-16120 CVE-2020-1749 CVE-2020-25639 CVE-2020-25672
+        CVE-2020-26558 CVE-2020-27170 CVE-2020-27171 CVE-2020-27784 CVE-2020-27820 CVE-2020-35499
+        CVE-2020-35501 CVE-2020-35508 CVE-2020-8834 CVE-2021-20194 CVE-2021-20226 CVE-2021-20265
+        CVE-2021-20320 CVE-2021-20321 CVE-2021-20322 CVE-2021-23133 CVE-2021-23134 CVE-2021-27363
+        CVE-2021-27364 CVE-2021-27365 CVE-2021-28038 CVE-2021-28039 CVE-2021-28375 CVE-2021-28660
+        CVE-2021-28691 CVE-2021-28714 CVE-2021-28715 CVE-2021-28950 CVE-2021-28951 CVE-2021-28952
+        CVE-2021-28964 CVE-2021-28971 CVE-2021-28972 CVE-2021-29154 CVE-2021-29155 CVE-2021-29264
+        CVE-2021-29265 CVE-2021-29266 CVE-2021-29646 CVE-2021-29647 CVE-2021-29648 CVE-2021-29649
+        CVE-2021-29650 CVE-2021-29657 CVE-2021-30002 CVE-2021-30178 CVE-2021-31829 CVE-2021-31916
+        CVE-2021-32078 CVE-2021-32399 CVE-2021-33033 CVE-2021-33034 CVE-2021-33200 CVE-2021-33624
+        CVE-2021-33655 CVE-2021-33909 CVE-2021-34556 CVE-2021-34693 CVE-2021-3483 CVE-2021-3501
+        CVE-2021-35039 CVE-2021-3506 CVE-2021-35477 CVE-2021-3564 CVE-2021-3573 CVE-2021-3609
+        CVE-2021-3640 CVE-2021-3653 CVE-2021-3655 CVE-2021-3656 CVE-2021-3659 CVE-2021-3669
+        CVE-2021-3679 CVE-2021-3714 CVE-2021-37159 CVE-2021-3732 CVE-2021-3736 CVE-2021-3739
+        CVE-2021-3744 CVE-2021-3752 CVE-2021-3753 CVE-2021-37576 CVE-2021-3759 CVE-2021-3764
+        CVE-2021-3772 CVE-2021-3773 CVE-2021-38160 CVE-2021-38166 CVE-2021-38198 CVE-2021-38199
+        CVE-2021-38200 CVE-2021-38201 CVE-2021-38202 CVE-2021-38203 CVE-2021-38204 CVE-2021-38205
+        CVE-2021-38206 CVE-2021-38207 CVE-2021-38208 CVE-2021-38209 CVE-2021-38300 CVE-2021-3847
+        CVE-2021-3864 CVE-2021-4001 CVE-2021-4002 CVE-2021-4023 CVE-2021-4032 CVE-2021-4037
+        CVE-2021-40490 CVE-2021-4083 CVE-2021-4090 CVE-2021-4093 CVE-2021-4095 CVE-2021-41073
+        CVE-2021-4135 CVE-2021-4148 CVE-2021-4149 CVE-2021-4150 CVE-2021-4154 CVE-2021-4155
+        CVE-2021-4157 CVE-2021-41864 CVE-2021-4197 CVE-2021-42008 CVE-2021-4202 CVE-2021-4203
+        CVE-2021-4218 CVE-2021-42252 CVE-2021-42327 CVE-2021-42739 CVE-2021-43057 CVE-2021-43389
+        CVE-2021-43975 CVE-2021-43976 CVE-2021-44733 CVE-2021-44879 CVE-2021-45095 CVE-2021-45402
+        CVE-2021-45469 CVE-2021-45480 CVE-2021-45485 CVE-2021-45486 CVE-2021-45868 CVE-2021-46283
+        CVE-2022-0168 CVE-2022-0171 CVE-2022-0185 CVE-2022-0264 CVE-2022-0286 CVE-2022-0322
+        CVE-2022-0330 CVE-2022-0382 CVE-2022-0400 CVE-2022-0433 CVE-2022-0435 CVE-2022-0480
+        CVE-2022-0487 CVE-2022-0492 CVE-2022-0494 CVE-2022-0500 CVE-2022-0516 CVE-2022-0617
+        CVE-2022-0850 CVE-2022-0854 CVE-2022-0995 CVE-2022-0998 CVE-2022-1011 CVE-2022-1012
+        CVE-2022-1015 CVE-2022-1016 CVE-2022-1043 CVE-2022-1048 CVE-2022-1055 CVE-2022-1158
+        CVE-2022-1184 CVE-2022-1195 CVE-2022-1198 CVE-2022-1199 CVE-2022-1204 CVE-2022-1205
+        CVE-2022-1247 CVE-2022-1263 CVE-2022-1353 CVE-2022-1462 CVE-2022-1508 CVE-2022-1651
+        CVE-2022-1652 CVE-2022-1671 CVE-2022-1734 CVE-2022-1786 CVE-2022-1852 CVE-2022-1882
+        CVE-2022-1973 CVE-2022-1976 CVE-2022-1998 CVE-2022-2078 CVE-2022-2153 CVE-2022-2308
+        CVE-2022-2318 CVE-2022-23222 CVE-2022-2327 CVE-2022-2380 CVE-2022-24448 CVE-2022-24958
+        CVE-2022-24959 CVE-2022-2503 CVE-2022-25258 CVE-2022-25265 CVE-2022-25375 CVE-2022-26365
+        CVE-2022-26490 CVE-2022-2663 CVE-2022-26878 CVE-2022-26966 CVE-2022-27223 CVE-2022-27666
+        CVE-2022-2785 CVE-2022-27950 CVE-2022-28356 CVE-2022-28388 CVE-2022-28389 CVE-2022-28390
+        CVE-2022-2873 CVE-2022-28796 CVE-2022-28893 CVE-2022-2905 CVE-2022-29156 CVE-2022-2938
+        CVE-2022-29581 CVE-2022-29582 CVE-2022-2959 CVE-2022-2961 CVE-2022-2977 CVE-2022-2991
+        CVE-2022-29968 CVE-2022-3028 CVE-2022-3077 CVE-2022-3078 CVE-2022-3170 CVE-2022-3176
+        CVE-2022-3202 CVE-2022-32250 CVE-2022-32296 CVE-2022-32981 CVE-2022-3303 CVE-2022-3344
+        CVE-2022-33740 CVE-2022-33741 CVE-2022-33742 CVE-2022-33743 CVE-2022-33744 CVE-2022-33981
+        CVE-2022-3435 CVE-2022-34494 CVE-2022-34495 CVE-2022-34918 CVE-2022-3521 CVE-2022-3522
+        CVE-2022-3523 CVE-2022-3526 CVE-2022-3531 CVE-2022-3532 CVE-2022-3533 CVE-2022-3534
+        CVE-2022-3535 CVE-2022-3541 CVE-2022-3542 CVE-2022-3543 CVE-2022-3544 CVE-2022-3545
+        CVE-2022-3563 CVE-2022-3564 CVE-2022-3565 CVE-2022-3566 CVE-2022-3567 CVE-2022-3586
+        CVE-2022-3594 CVE-2022-3595 CVE-2022-3606 CVE-2022-36123 CVE-2022-3619 CVE-2022-3621
+        CVE-2022-3623 CVE-2022-3624 CVE-2022-3625 CVE-2022-36280 CVE-2022-3629 CVE-2022-3630
+        CVE-2022-3633 CVE-2022-3635 CVE-2022-3636 CVE-2022-3637 CVE-2022-3640 CVE-2022-36402
+        CVE-2022-3646 CVE-2022-3649 CVE-2022-36879 CVE-2022-36946 CVE-2022-38096 CVE-2022-38457
+        CVE-2022-39188 CVE-2022-39189 CVE-2022-39190 CVE-2022-39842 CVE-2022-40133 CVE-2022-40307
+        CVE-2022-40476 CVE-2022-40768 CVE-2022-41218 CVE-2022-41222 CVE-2022-41674 CVE-2022-41848
+        CVE-2022-41849 CVE-2022-41850 CVE-2022-42703 CVE-2022-42719 CVE-2022-42720 CVE-2022-42721
+        CVE-2022-42722 CVE-2022-43750 CVE-2022-43945 CVE-2022-44032 CVE-2022-44033 CVE-2022-44034
+        Count: 365
+
+    Issues for package sudo (version 1.9.10):
+        CVE-2022-43995
+        Count: 1
+
+    Issues for package python3 (version 3.10.7):
+        CVE-2022-42919 CVE-2022-45061
+        Count: 2
+
+    Issues for package libpam (version 1.5.2):
+        CVE-2022-28321
+        Count: 1
+
+raspberrypi4 CVE report (rootfs only)
+-------------------------------------
+
+Total number of known issues: 249
+
+Out of this, high severity (CVSSv3 >= 7.0): 118
+
+Complete results:
+
+.. code-block:: console
+
+    Issues for package systemd (version 1_250.5):
+        CVE-2022-3821
+        Count: 1
+
+    Issues for package openssl (version 3.0.5):
+        CVE-2022-3358 CVE-2022-3602 CVE-2022-3786
+        Count: 3
+
+    Issues for package libpam (version 1.5.2):
+        CVE-2022-28321
+        Count: 1
+
+    Issues for package linux-raspberrypi (version1_5.15.34+gitAUTOINC+e1b976ee4f_0086da6acd):
+        CVE-1999-0524 CVE-1999-0656 CVE-2006-2932 CVE-2007-2764
+        CVE-2007-4998 CVE-2008-2544 CVE-2008-4609 CVE-2010-0298 CVE-2010-4563
+        CVE-2014-2648 CVE-2014-8171 CVE-2016-0774 CVE-2016-3695 CVE-2016-3699
+        CVE-2017-1000255 CVE-2017-1000377 CVE-2017-6264 CVE-2018-1000026
+        CVE-2018-10840 CVE-2018-10876 CVE-2018-10882 CVE-2018-10901
+        CVE-2018-10902 CVE-2018-14625 CVE-2018-16880 CVE-2018-16884
+        CVE-2018-5873 CVE-2018-6559 CVE-2019-14899 CVE-2019-18910
+        CVE-2019-3016 CVE-2019-3819 CVE-2019-3846 CVE-2019-3887 CVE-2020-10732
+        CVE-2020-10742 CVE-2020-16119 CVE-2020-1749 CVE-2020-25672
+        CVE-2020-27784 CVE-2020-27820 CVE-2020-35501 CVE-2020-8834
+        CVE-2021-20194 CVE-2021-20226 CVE-2021-20265 CVE-2021-33655
+        CVE-2021-3564 CVE-2021-3669 CVE-2021-3714 CVE-2021-3743 CVE-2021-3759
+        CVE-2021-3847 CVE-2021-3864 CVE-2021-4002 CVE-2021-4090 CVE-2021-4095
+        CVE-2021-4135 CVE-2021-4155 CVE-2021-4197 CVE-2021-4202 CVE-2021-4218
+        CVE-2021-44879 CVE-2021-45402 CVE-2022-0168 CVE-2022-0171
+        CVE-2022-0185 CVE-2022-0264 CVE-2022-0286 CVE-2022-0330 CVE-2022-0382
+        CVE-2022-0400 CVE-2022-0433 CVE-2022-0435 CVE-2022-0480 CVE-2022-0492
+        CVE-2022-0494 CVE-2022-0500 CVE-2022-0516 CVE-2022-0617 CVE-2022-0742
+        CVE-2022-0854 CVE-2022-0995 CVE-2022-0998 CVE-2022-1011 CVE-2022-1012
+        CVE-2022-1015 CVE-2022-1016 CVE-2022-1048 CVE-2022-1055 CVE-2022-1158
+        CVE-2022-1184 CVE-2022-1195 CVE-2022-1198 CVE-2022-1199 CVE-2022-1204
+        CVE-2022-1205 CVE-2022-1247 CVE-2022-1263 CVE-2022-1353 CVE-2022-1462
+        CVE-2022-1651 CVE-2022-1652 CVE-2022-1671 CVE-2022-1734 CVE-2022-1852
+        CVE-2022-1882 CVE-2022-1973 CVE-2022-1976 CVE-2022-1998 CVE-2022-2078
+        CVE-2022-2153 CVE-2022-2308 CVE-2022-2318 CVE-2022-2327 CVE-2022-2380
+        CVE-2022-24122 CVE-2022-24448 CVE-2022-24958 CVE-2022-24959
+        CVE-2022-2503 CVE-2022-25258 CVE-2022-25265 CVE-2022-25375
+        CVE-2022-26365 CVE-2022-26490 CVE-2022-2663 CVE-2022-26878
+        CVE-2022-26966 CVE-2022-27223 CVE-2022-27666 CVE-2022-2785
+        CVE-2022-27950 CVE-2022-28356 CVE-2022-28388 CVE-2022-28389
+        CVE-2022-28390 CVE-2022-2873 CVE-2022-28796 CVE-2022-28893
+        CVE-2022-2905 CVE-2022-29156 CVE-2022-2938 CVE-2022-29581
+        CVE-2022-29582 CVE-2022-2959 CVE-2022-2961 CVE-2022-2977
+        CVE-2022-29968 CVE-2022-3028 CVE-2022-3077 CVE-2022-3078 CVE-2022-3170
+        CVE-2022-3176 CVE-2022-3202 CVE-2022-32250 CVE-2022-32296
+        CVE-2022-32981 CVE-2022-3303 CVE-2022-3344 CVE-2022-33740
+        CVE-2022-33741 CVE-2022-33742 CVE-2022-33743 CVE-2022-33744
+        CVE-2022-33981 CVE-2022-3435 CVE-2022-34494 CVE-2022-34495
+        CVE-2022-34918 CVE-2022-3521 CVE-2022-3522 CVE-2022-3523 CVE-2022-3526
+        CVE-2022-3531 CVE-2022-3532 CVE-2022-3533 CVE-2022-3534 CVE-2022-3535
+        CVE-2022-3541 CVE-2022-3542 CVE-2022-3543 CVE-2022-3544 CVE-2022-3545
+        CVE-2022-3563 CVE-2022-3564 CVE-2022-3565 CVE-2022-3566 CVE-2022-3567
+        CVE-2022-3586 CVE-2022-3594 CVE-2022-3595 CVE-2022-3606 CVE-2022-36123
+        CVE-2022-3619 CVE-2022-3621 CVE-2022-3623 CVE-2022-3624 CVE-2022-3625
+        CVE-2022-3629 CVE-2022-3630 CVE-2022-3633 CVE-2022-3635 CVE-2022-3636
+        CVE-2022-3637 CVE-2022-3640 CVE-2022-36402 CVE-2022-3646 CVE-2022-3649
+        CVE-2022-36879 CVE-2022-36946 CVE-2022-38096 CVE-2022-38457
+        CVE-2022-39188 CVE-2022-39189 CVE-2022-39190 CVE-2022-39842
+        CVE-2022-40133 CVE-2022-40307 CVE-2022-40476 CVE-2022-40768
+        CVE-2022-41218 CVE-2022-41674 CVE-2022-41848 CVE-2022-41849
+        CVE-2022-41850 CVE-2022-42703 CVE-2022-42719 CVE-2022-42720
+        CVE-2022-42721 CVE-2022-42722 CVE-2022-43750 CVE-2022-43945
+        CVE-2022-44032 CVE-2022-44033 CVE-2022-44034
+        Count: 236
+
+    Issues for package curl (version 7.82.0):
+        CVE-2022-42915 CVE-2022-42916
+        Count: 2
+
+    Issues for package python3 (version 3.10.7):
+        CVE-2022-42919 CVE-2022-45061
+        Count: 2
+
+    Issues for package expat (version 2.4.9):
+        CVE-2022-43680
+        Count: 1
+
+    Issues for package dropbear (version 2020.81):
+        CVE-2021-36369
+        Count: 1
+
+    Issues for package sudo (version 1.9.10):
+        CVE-2022-43995
+        Count: 1
+
+    Issues for package podman (version 4.0.1+gitAUTOINC+717edd7b84):
+        CVE-2022-2989
+        Count: 1