Zgłaszanie błędów bezpieczeństwa

To jest ogólny zarys a nie wyczerpująca lista zakresu tego procesu.

• Problemy, które wpływają na dostępność jednej lub więcej usług będących częścią ekosystemu Wikimedia, szczególnie gdy jest to wynikiem wrogiego działania lub kampanii.
• Gdy integralność danych hostowanych przez Fundację Wikimedia lub podmioty z nią powiązane jest zagrożona korupcją, manipulacją lub inną nieautoryzowaną modyfikacją.
• Gdy poufność danych należących do Fundacji Wikimedia lub podmiotów powiązanych jest naruszona w taki sposób, że informacje, które powinny być ograniczone lub prywatne, są ujawniane, wykradane lub w inny sposób nieautoryzowane.

Aby zgłosić problem, wyślij e-mail na adres security@wikimedia.org lub skorzystaj z formularza Zgłoś Problem Bezpieczeństwa na Phabricator.

Takie zgłoszenia nie będą widoczne publicznie w momencie zgłaszania. Zobacz poniżej, aby uzyskać dalsze informacje na temat procesu po rozwiązaniu problemów.

• Instrukcje krok po kroku, aby odtworzyć problem
• Jeśli to możliwe, kod dowodu słuszności koncepcji demonstrujący problem jest najlepszą praktyką.
• Jeśli lukę w zabezpieczeniach można odtworzyć w projekcie Wikimedia (takim jak Wikipedia lub Wikisłownik), prosimy o wskazanie, który z nich, ponieważ konfiguracje stron mogą się różnić.
• Jeśli to możliwe, wskaż, czy jesteś zalogowany, czy wylogowany, gdy problem występuje
• W przypadku XSS lub luk w zabezpieczeniach, które wymagają konkretnej przeglądarki lub wtyczki, prosimy o wskazanie, której przeglądarki i wersji używasz. Konkretna wersja używanego oprogramowania będzie pomocna.
• Kategoria luki według OWASP (korzystając z OWASP Top 10 z 2017 roku) lub identyfikator CWE (korzystając z CWE według koncepcji badawczych).
• CVE, jeśli został przypisany (korzystając z bazy danych NIST CVE).
• Wszelkie inne informacje potrzebne do zbadania i odtworzenia problemu

Jeśli zgłaszasz lukę w zabezpieczeniach za pomocą e-maila na adres security@wikimedia.org, daj nam znać, czy masz konto w Phabricatorze Wikimedia, ponieważ dodamy cię do zgłoszenia, które utworzymy, abyś mógł śledzić status.

Konta w Phabricatorze można utworzyć przy użyciu istniejącego konta SUL Wiki.

Zrobimy:

• Określenie, czy uznajemy to za problem z bezpieczeństwem
• Spróbujemy odtworzyć problem i przypisać priorytet do błędu na podstawie jego wpływu.
• Poprawka zostanie dodana na Phabricatorze, a inna osoba ją zrecenzuje.
  • Poprawka powinna zawierać testy regresyjne, gdy tylko to możliwe.
• Poprawka zostanie wdrożona w klastrze Wikimedia, a dostęp do niej zostanie przyznany kilku zaufanym partnerom i dystrybutorom.^{[citation needed]}
• Jeśli to możliwe, poprawka zostanie uwzględniona w następnej wersji MediaWiki. Jeśli wpływ luki jest szczególnie poważny lub mamy wskazania, że jest ona aktywnie wykorzystywana, dokonamy specjalnego wydania zabezpieczeń MediaWiki, aby zapewnić ochronę osobom trzecim.
• O ile nie wskażesz wyraźnie, że pewne informacje nie mogą być publikowane, uczynimy zgłoszenie w Phabricatorze publicznym w momencie wydania poprawki i wymienimy Cię w ogłoszeniu o wydaniu. Jeśli zgłosisz problem za pomocą e-maila na adres security@wikimedia.org, sam e-mail może zostać opublikowany. Może to obejmować twój adres e-mail i podpis, chyba że zdecydujesz inaczej. Tag Phabricator PermanentlyPrivate zapewni, że zgłoszenia będą utrzymywane w tajemnicy na zawsze.
• Określ, czy należy opublikować rekord CVE, jeśli nie został on uwzględniony w oryginalnym zgłoszeniu.

• Uznanie zostanie przyznane zgłaszającemu w wiadomości commit, która naprawia problem.
• Uznanie zostanie przyznane zgłaszającemu w oficjalnym e-mailu ogłaszającym, który trafi na listy mailingowe MediaWiki-announce.
• Uznanie zostanie przyznane na Wikimedia Security Team/Thanks za luki w zabezpieczeniach w rdzeniu MediaWiki lub w dołączonej bibliotece, skórce lub rozszerzeniu.
• Obecnie nie ma budżetu na raporty dotyczące bezpieczeństwa. Oznacza to, że Fundacja Wikimedia nie wypłaca nagród za odkrywanie błędów bezpieczeństwa w tych projektach, ani w formie pieniędzy, ani w formie towarów.

Kiedy to możliwe w trakcie procesu usuwania, błędy bezpieczeństwa powinny zawierać komentarze, które obejmują:

• Instrukcje krok po kroku, aby odtworzyć dalsze problemy
• Linki do commitów, które wprowadziły błąd
• Linki do zestawów zmian Gerrit, które naprawiają błąd

Dostęp zgłaszających do własnych raportów jest standardem, ale aby uzyskać dostęp do kwestii chronionych bezpieczeństwem, zazwyczaj istnieje osobny proces

Jeśli chcesz dostarczyć poprawkę dla błędu bezpieczeństwa, proszę dołączyć ją jako załącznik do zadania na Phabricatorze. Możesz przeciągnąć i upuścić poprawkę w obszarze komentarza lub dołączyć różnicę (diff) poprawki jako komentarz.

Proszę nie przesyłać poprawek do Gerrit. Wszystkie zmiany w Gerrit (w tym "szkice") są publicznie dostępne.

• Zobacz sekcję Tworzenie poprawki bezpieczeństwa na wikitech, aby zapoznać się z krokami do tworzenia tych poprawek, oraz sekcję Poprawki bezpieczeństwa dotyczącą sposobu ich wdrażania.