דיווח על באגי אבטחה

זהו מתווה כללי ולא רשימה ממצה של היקף תהליך זה.

• בעיות המשפיעות על הזמינות של אחד משירותים נוספים שהם חלק מהאקוסיסטם של ויקימדיה, אך בפרט כאשר מדובר בתוצאה של מערך עוין של פעולות או קמפיין.
• כאשר שלמות הנתונים המתארחים על ידי קרן ויקימדיה או ישויות קשורות נמצאות בסיכון להיפגם, שיבוש או שינוי אחר באופן לא מורשה.
• כאשר סודיות הנתונים שבבעלות קרן ויקימדיה או הגופים הקשורים אליה נפגעת, כך שמידע שנועד להיות מוגבל או פרטי דלוף, נחשף, נגנב או מוחלף באופן לא מורשה.

כדי לדווח על בעיה, שלחו דוא"ל לsecurity@wikimedia.org או השתמשו בטופס דווח על בעיית אבטחה ב-Phabricator.

דיווחים כאלה לא יהיו גלויים לציבור בזמן הדיווח. ראו להלן לתהליך נוסף לאחר פתרון הבעיות.

• הוראות שלב אחר שלב לשחזור הבעיה
• במידת האפשר, קוד הוכחת מושג המדגים את הבעיה הוא שיטה מומלצת
• אם ניתן לשחזר את הפגיעות במיזם ויקימדיה (כגון ויקיפדיה או ויקימילון) אנא ציינו אילו תצורות האתר משתנות
• אם רלוונטי, ציינו אם אתם מחוברים או מנותקים כאשר הבעיה מתרחשת
• עבור XSS או פרצות הדורשות דפדפן או פלאגין ספציפיים, נא לציין באיזה דפדפן וגרסה אתם משתמשים. הגרסה הספציפית של כל תוכנה שבה נעשה שימוש תהיה מועילה.
• OWASP קטגוריית פגיעות (באמצעות OWASP Top 10 לשנת 2017), או מזהה CWE (באמצעות CWE By Research Concepts)
• CVE אם הוקצה (באמצעות מסד הנתונים של NIST CVE)
• כל מידע אחר הדרוש כדי לחקור ולשחזר את הבעיה

אם אתם מדווחים על הפגיעות בדוא"ל לsecurity@wikimedia.org, הודעיו לנו אם יש לכם חשבון Wikimedia Phabricator מכיוון שאנו נוסיף אותכם לבאג שאנו יוצרים, כדי שתוכלו לעקוב אחר הסטטוס.

ניתן ליצור חשבונות Phabricator באמצעות חשבון SUL Wiki קיים.

אנו:

• נקבע אם אנו מחשיבים זאת כבעיית אבטחה
• ננסה לשחזר את הבעיה, ולהקצות עדיפות לבאג על סמך השפעתו.
• תיקון יתווסף ב-Phabricator, ואדם אחר יבדוק אותו.
  • התיקון צריך להכיל מבחני רגרסיה, במידת האפשר.
• התיקון ייפרס באשכול ויקימדיה, והגישה לתיקון תינתן לכמה שותפים ומפיצים מהימנים.^{[citation needed]}
• אם ישים, התיקון ייכלל במהדורה הבאה של מדיה-ויקי. אם ההשפעה של הפגיעות גרועה במיוחד, או שיש לנו אינדיקציות שהיא מנוצלת באופן פעיל, נוציא מהדורת אבטחה מיוחדת של מדיה-ויקי כדי להבטיח שצדדים שלישיים מוגנים.
• אלא אם כן תציינו במפורש שאסור לפרסם מידע מסוים, אנו נפרסם את כרטיס ה-Phabricator לציבור כאשר התיקון ישוחרר, ונזכה אותכם בהודעת השחרור. אם תדווחו על הבעיה בדוא"ל ל-security@wikimedia.org, ייתכן שהמייל עצמו ישוחרר לציבור. זה עשוי לכלול את כתובת הדוא"ל והחתימה שלכם, אלא אם כן תבקשו אחרת. תג Phabricator PermanentlyPrivate יבטיח שהדיווחים יישמרו חסויים לנצח.
• קבעו אם יש לפרסם CVE record אם היא לא נכללה בדוח המקורי

• קרדיט יינתן למדווח בהודעת ההתחייבות לתיקון הבעיה
• הקרדיט יינתן לכתב באימייל ההודעה הרשמית שיועבר לרשימות התפוצה MediaWiki-announce
• הקרדיט יינתן בצוות האבטחה של ויקימדיה/תודה על נקודות תורפה בליבת מדיה-ויקי או בספרייה, גוון (סקין) או הרחבה מצורפים.
• נכון לעכשיו, אין תקציב לדוחות אבטחה. המשמעות היא שלא משולמים פרסים על ידי קרן ויקימדיה על גילוי באגי אבטחה במיזמים אלה, בכסף או בסחורה.

כאשר הדבר אפשרי במהלך תהליך התיקון, לבאגי האבטחה צריכים להיות הערות הכוללות:

• הוראות שלב אחר שלב לשחזור בעיות נוספות
• קישורים ל-commits שהציגו את הבאג
• קישורים לסט השינויים של Gerrit שמתקן את הבאג

גישת מדווח לדוחות שנכתבו בעצמם היא סטנדרטית, אבל כדי לקבל גישה לבעיות מוגנות אבטחה שבדרך כלל ישנו תהליך נפרד.

אם תרצו לספק תיקון לבאג אבטחה, הוסיפו אותו כקובץ מצורף למשימה ב-Phabricator. אתם יכולים לגרור ולשחרר את התיקון לאזור ההערות, או לכלול הבדל של התיקון כהערה.

נא אל תשלחו תיקונים ל-Gerrit. כל השינויים של Gerrit (כולל "טיוטות") נגישים לציבור.

• עיינו בסעיף יצירת תיקון אבטחה בוויקיטק לשלבים ליצירת תיקוני תיקון אלה, ובסעיף תיקוני אבטחה לגבי אופן פריסת התיקונים הללו.