सुरक्षा के बग्स रिपोर्ट करना
यह विकिमीडिया संस्थान द्वारा अनुरक्षित या चलाने जाने वाले सॉफ़्टवेयर पर सुरक्षा की समस्याओं को रिपोर्ट करने की प्रक्रिया है। इसमें मीडियाविकि, और विकिपीडिया जैसी विकिमीडिया परियोजनाएँ शामिल हैं।
हम ज़िम्मेदार प्रकटीकरण में विश्वास रखते हैं, और आशा करते हैं कि हमारी परियोजनाओं में सुरक्षा के मुद्दे पाने वाला हर सदस्य विवेक और सहनशीलता के साथ काम करेगा।
सुरक्षा की समस्या किसे कहा जा सकता है
यह एक साधारण प्रारूप है, और यह इस प्रक्रिया के उद्देश्यों की पूरी सूची नहीं है।
- समस्याएँ जो ऐसी एक या एकाधिक सेवाओं की उपलब्धता को प्रभावित करते हैं जो विकिमीडिया परियोजनाओं का हिस्सा हैं, मगर विशिष्ट रूप से जो किसी विरोधी कार्य या अभियान के परिणाम हों।
- जब विकिमीडिया संस्थान या संबद्ध संगठनों द्वारा होस्ट की जाने वाली डेटा की अखंडता को भ्रष्ट किए जाने, उसके साथ छेड़खानी किए जाने, या फिर बिना अनुमति के बदले जाने का खतरा हो।
- जब विकिमीडिया संस्थान या इसके संबद्ध संगठनों द्वारा जिस डेटा के लिए स्वामित्व निभाई जाती है, उसकी गोपनीयता को खतरा हो, जिसमें निजी या सीमित जानकारी को लीक कर दिया जाता है, चुरा लिया जाता है, या फिर बिना अनुमति के बाहर ले जाया जाता है।
सुरक्षा की समस्या को रिपोर्ट करना
किसी समस्या को रिपोर्ट करने के लिए security@wikimedia.org पर ईमेल भेजें या फिर Phabricator पर Report Security Issue फ़ॉर्म का इस्तेमाल करें।
ये रिपोर्ट्स रिपोर्ट करने के समय पर सार्वजनिक रूप से दृश्य नहीं होंगे। जब समस्याओं को सुलझा लिया गया हो, उसके बाद की प्रक्रिया के लिए नीचे देखें।
सुरक्षा की समस्या के रिपोर्ट में क्या-क्या शामिल करना है
- समस्या तक पहुँचने के लिए चरण-दर-चरण अनुदेश
- अगर संभव हो, तो समस्या को वर्णित करने के लिए अवधारणा-का-सबूत कोड, एक सर्वोत्तम प्रथा मानी जाती है
- अगर कमज़ोरी को किसी विकिमीडिया परियोजना (जैसे विकिपीडिया या विकिकोश) पर दोबारा प्राप्त किया जा सकता है, कृपया बताएँ कि किस साइट पर, क्योंकि सबके कॉन्फ़िगरेशन्स अलग-अलग हैं।
- अगर लागू हो, तो बताएँ कि समस्या के आते समय आपने लॉग-इन किया था या लॉग-आउट
- XSS, या फिर ऐसी समस्याओं के लिए अपना ब्राउज़र और उसका संस्करण बताएँ जिनपर किसी विशिष्ट ब्राउज़र या प्लगिन की ज़रूरत होती है। किसी भी प्रयुक्त सॉफ़्टवेयर का विशिष्ट संस्करण काम आएगा।
- OWASP कमज़ोरी श्रेणी (OWASP Top 10 for 2017 की मदद से), या CWE (CWE By Research Concepts की मदद से)
- CVE अगर लागू हो (NIST CVE डेटाबेस की मदद से)
- कोई भी दूसरी जानकारी जिससे समस्या को जाँच करने या दोबारा प्राप्त करने में आसानी हो
अगर आप security@wikimedia.org को ईमेल के ज़रिए कमज़ोरी को रिपोर्ट करते हैं, हमें बताएँ कि आपके पास एक विकिमीडिया Phabricator खाता है कि नहीं, क्योंकि हम आपको आपके रिपोर्ट किए हुए बग पर जोड़ देंगे जहाँ से आप उसकी स्थिति को ट्रैक कर पाएँगे।
Phabricator खाते मौजूदा SUL विकि खातों की मदद से बनाए जा सकते हैं।
सुरक्षा की समस्याओं के रिपोर्ट किए जाने के बाद क्या होता है
हम:
- पता लगाएँगे कि यह सुरक्षा की समस्या होगी या नहीं
- समस्या को दोबारा पहुँचने की कोशिश करेंगे, और उसके प्रभाव के आधार पर बग को एक प्राथमिकता सौंपेंगे
- Phabricator पर एक पैच जोड़ दिया जाएगा, और कोई दूसरा व्यक्ति उसे निरीक्षित करेगा।
- पैच में यथासंभव प्रतीपगमन परीक्षण मौजूद होने चाहिए।
- पैच को विकिमीडिया क्लस्टर पर तैनात कर दिया जाएगा, और कुछ विश्वसनीय सहायकों और वितरकों को उस पैच तक पहुँच सौंपी जाएगी।[citation needed]
- अगर लागू हो, पैच को मीडियाविकि के अगले प्रकाशन में शामिल किया जाएगा। अगर कमज़ोरी का प्रभाव काफ़ी बुरा होता है, या फिर हमारे पास खबर आती है कि इसका सक्रिय रूप से गलत फ़ायदा उठाया जा रहा हो, हम मीडियाविकि का एक विशेष सुरक्षा प्रकाशन बनाएँगे ताकि तृतीय-पक्ष सुरक्षित रहे।
- अगर आप स्पष्ट बताते नहीं कि कुछ जानकारी को प्रकाशित न किया जाए, सुधार के प्रकाशित किए जाने के बाद हम Phabricator टिकट को सार्वजनिक कर देंगे, और घोषणा में आपको श्रेय देंगे। अगर आप security@wikimedia.org को ईमेल के ज़रिए समस्या को रिपोर्ट को रिपोर्ट करते हैं, ईमेल को ही सार्वजनिक रूप से प्रकाशित कर दिया जाएगा। इसमें आपका ईमेल पता और हस्ताक्षर शामिल होगा, अगर आपको कोई आपत्ति न हो तो। Phabricator टैग PermanentlyPrivate से निश्चित किया जाएगा कि रिपोर्ट्स को हमेशा गुप्त रखा जाएगा।
- Determine if a CVE record needs to be published if it was not included in the original report
रिपोर्ट करने वालों का श्रेय
- समस्या को सुधारने वाले कमिट संदेश में रिपोर्ट करने वाले को श्रेय दिया जाएगा
- MediaWiki-announce मेलिंग सूचियों में जाने वाले आधिकारिक घोषणा ईमेल में रिपोर्ट करने वाले को श्रेय दिया जाएगा
- मीडियाविकि मूल या फिर बंडल किए गए किसी लाइब्रेरी, स्किन, या एक्सटेंशन में कमज़ोरियों के लिए Wikimedia Security Team/Thanks पर श्रेय दिया जाएगा।
- इस समय सुरक्षा के रिपोर्ट्स के लिए कोई बजट नहीं है। इसका मतलब है कि इन परियोजनाओं पर सुरक्षा के बग्स ढूँढ़ने के लिए विकिमीडिया संस्थान द्वारा कोई इनाम नहीं दी जाती है, न पैसों और न ही सामान के रूप में।
रिपोर्ट के उपचार को ट्रैक करना
उपचार के कार्य के दौरान जब संभव हो, सुरक्षा के बग्स पर टिप्पणियाँ होनी चाहिए जिनमें शामिल होने चाहिए:
- अतिरिक्त समस्याओं तक पहुँचने के लिए चरण-दर-चरण अनुदेश
- उन कमिट्स की कड़ियाँ जिनसे बग आया था
- Gerrit चेंजसेट्स की कड़ियाँ जिनमें बग को ठीक किया गया था
रिपोर्ट करने वाला मानक विधि से लिखे हुए रिपोर्ट्स तक पहुँच सकता है, मगर सुरक्षा की सुरक्षित समस्याओं के लिए एक दूसरी प्रक्रिया है
पैचेस का योगदान करना
अगर आप किसी सुरक्षा के बग के लिए पैच प्रदान करना चाहेंगे, कृपया उसे Phabricator टास्क के साथ एक संलग्नक के रूप में जोड़ें। आप पैच को टिप्पणी के क्षेत्र पर ड्रैग-और-ड्रॉप कर सकते हैं, या फिर पैच के अंतर को एक टिप्पणी के रूप में जोड़ सकते हैं।
कृपया Gerrit पर पैचेस प्रस्तुत न करें। सभी Gerrit बदलाव ("ड्राफ़्ट्स" सहित) सार्वजनिक हैं।
- इन पैचेस को बनाने के चरणों के लिए विकिटेक पर Creating a Security Patch देखें, और इन पैचों के तैनात-कार्य के बारे में जानकारी के लिए Security patches।
संबंधित सुरक्षा सामग्री
परियोजना | विकिमीडिया सुरक्षा दल द्वारा प्रयोग |
---|---|
mediawiki.org | नीति, SOP, आदि की साधारण सामग्री। आधिकारिक सुरक्षा दल पृष्ठ । |
wikitech.wikimedia.org | प्रक्रियात्मक या निर्देशात्मक सामग्री जो प्रशिक्षण नहीं है। |
meta.wikimedia.org | अनुवाद के लिए नीति और दूसरी सामग्री। |
office.wikimedia.org | संवेदनशील या निजी सामग्री। NDA और उचित अधिकार आवश्यक हैं। |
foundation.wikimedia.org | नीतियों का आधिकारिक स्थान। |