报告安全问题
本页面介绍了提交与维基媒体基金会运营或维护的软件及服务有关的安全問題的流程。 这包括MediaWiki及诸如维基百科等的维基媒体项目們。
我们允许负责任的披露,同时希望任何在我们的软件生态中发现安全問題的人都能保持宽容、谨慎行事。
什么是安全問題
以下列举的只是一个大致的标准,而非详尽列表。
- 至少有一项维基媒体生态服务的可用性受到影响的那些問題,特別尤其是,這是惡意的行動或活動所設置的結果的時候。
- 當,由维基媒体基金会或附属实体所託管的数据完整性,存在被破坏、被篡改、或被其他未经授权的方式修改的风险之时。
- 维基媒体基金会或其附属实所体拥有的数据的机密性受到损害,如本应限制访问的私密信息被刻意或无意地泄露、窃取或以未经授权的方式漏出时。
报告安全问题
如需提报安全问题,请发送邮件至security@wikimedia.org,或使用Phabricator上的“提报安全问题”表单。
此类报告在提報之时不会对公众公开。在问题解决后,请参阅下文了解后续流程。
在安全问题报告中应包含什么
- 复现问题的逐步流程
- 如果可能的话,最好的實踐方法就是以概念验证代码來說明這個問題。
- 如果漏洞可在维基媒体的计划(如维基百科或维基词典)中复现,请指出是哪个计划,因为不同站点的配置皆不相同
- 如果适用,请指出您在问题发生时是否登入或登出了账户
- 对于XSS,或漏洞涉及到特定的浏览器或插件,请指出您使用的浏览器及其版本号。所使用的任何软件的具体版本号都会有帮助。
- (使用OWASP Top 10 for 2017的)OWASP漏洞分类或(使用CWE By Research Concepts的)CWE的ID编号
- CVE编号,如果有(使用NIST CVE数据库)指定的話
- 任何其他有助于调查和复现问题的信息
如果您通过向security@wikimedia.org发送邮件报告漏洞,请告诉我们您是否有維基媒體Phabricator账号,以便我们将您添加至我们创建的bug中,这样您就可以追踪后续进度。
Phabricator账户能通过现有的SUL Wiki账户创建。
當回報有安全問題時,會發生何事
我們將會:
- 決定我們是否認定此為安全問題
- 試著重現此一問題,並依據其輕重緩急的程度對這個錯誤指定一個優先權。
- 會在Phabricator中放入一個補丁程式,其他人會去審核它,
- 這個補丁程式應在可行的時候,包含一些復原的測試。
- 補丁程式將會套用在維基媒體的叢集上,只會給某些受信任的伙伴和散佈者存取這個補丁的權力。[citation needed]
- 在適當之時,這個補丁程式會被放入下一個MediaWiki的正式版本裏面。 如果這個漏洞所造成的後果特別地糟,或是我們已收到這個漏洞已被很積極地利用的指示,我們會製造一個特殊的MediaWiki安全版本,以確保第三方是有受到保護的。
- 當發佈更正時,我們會公佈Phabricator的ticket,並在版本公告中歸功於你,除非你有明確指出某些確切的資訊不得公開。 若你是透過email提報問題到security@wikimedia.org,email本身的內容可能會被公開。 可能包含你的email地址以及簽名,除非你額外要求。 在Phabricator標註永久保密可確保提交的內容將列為機密,直到永遠。
- 确定如果CVE记录未包含在原始报告中,是否需要发布该记录
歸功於提報者
- 會在修復問題的commit訊息中,將功勞歸於提報者。
- 會在官方公告的email中,將功勞歸於提報者。這些email列在MediaWiki公告的郵件列表裏。
- 對於MediaWiki核心、對於打包函式庫、對於皮膚、對於延展功能的漏洞的功勞,都會列在維基媒體安全小組/致謝頁面中。
- 在現在,不會有任何經費能發給發現安全錯誤的安全提案。這代表維基媒體基金會在這些計劃中不會給賞金,不論是給錢或是給商品。
追蹤報告的補救
當可能的時候,在補救進行之時,應對安全錯誤做附註,其包含下列:
- 能重現更深層問題的逐步指令
- 指向引發錯誤的commit的連結
- 指向修復錯誤的Gerrit的changeset的連結
提報者可以存取他自己寫的報告,這是標準做法。但要能存取到受安全保護的議題,一般來說,這有另一套流程
貢獻補丁程式
如果你想要提供某個安全錯誤的補丁程式,請將它附加在Phabricator工作裏面。你可以拖放補丁程式到評論區,也可以包含一個差異說明做為評論。
務必不要提交補丁程式到Gerrit裏面,所有的Gerrit更新(包含「草稿」)都是可以公開取得的。
相關的安全內容
專案 | 由維基媒體安全小組使用 |
---|---|
mediawiki.org | 政策、SOP等等的一般內容。官方安全小組的頁面 |
wikitech.wikimedia.org | 不属于培训的程序性或指导性材料。 |
meta.wikimedia.org | 政策和其他用于翻译的内容。 |
office.wikimedia.org | 敏感或私人的内容。你必须有NDA和适当的权限。 |
foundation.wikimedia.org | 政策的權威位置。 |