Reporting security bugs/pt-br

Este é o processo para relatar problemas de segurança em software e serviços mantidos ou operados pela Wikimedia Foundation. Isso inclui o MediaWiki e Wikimedia projects como a Wikipedia.

Apoiamos divulgação responsável e esperamos que qualquer pessoa que encontre um possível problema de segurança em nosso ecossistema aja com discrição e tolerância.



O que é considerado um problema de segurança
Este é um esboço geral e não uma lista exaustiva do escopo deste processo. 
 * Problemas que afetam a disponibilidade de um dos mais serviços que fazem parte do ecossistema Wikimedia, mas em particular quando este é o resultado de um conjunto hostil de ações ou campanhas.
 * Quando a integridade dos dados hospedados pela Wikimedia Foundation ou entidades afiliadas estiver em risco de ser corrompida, adulterada ou modificada de outra forma de maneira não autorizada.
 * Quando a confidencialidade dos dados de propriedade da Wikimedia Foundation ou de suas entidades afiliadas é comprometida, de modo que as informações destinadas a serem restritas ou privadas sejam vazadas, reveladas, roubadas ou exfiltradas de maneira não autorizada.

Relatar um problema de segurança
Para relatar um problema, envie um e-mail para [mailto:security@wikimedia.org security&#64;wikimedia.org] ou use o Relatar Problema de Segurança no formulário  Fabricator.

Tais relatórios não serão publicamente visíveis no momento da denúncia. Veja abaixo o processo adicional assim que os problemas forem resolvidos.



O que incluir em um relatório de problema de segurança
Se você relatar a vulnerabilidade por e-mail para [mailto:security@wikimedia.org security&#64;wikimedia.org], informe-nos se você tem um Wikimedia Phabricator conta como vamos adicioná-lo ao bug que criamos, para que você possa acompanhar o status.
 * Instruções passo a passo para reproduzir o problema
 * Se possível, o código prova de conceito demonstrando o problema é uma prática recomendada
 * Se a vulnerabilidade puder ser reproduzida em um projeto Wikimedia (como a Wikipédia ou o Wikcionário), indique quais configurações de site variam
 * Se aplicável, indique se você está conectado ou desconectado quando o problema ocorre
 * Para XSS ou vulnerabilidades que exigem um navegador ou plug-in específico, indique qual navegador e versão você está usando. A versão específica de qualquer software usado será útil.
 * OWASP categoria de vulnerabilidade (usando OWASP Top 10 para 2017), ou CWE id (usando CWE By Research Concepts)
 * CVE se atribuído (usando o [banco de dados CVE do NIST https://nvd.nist.gov/vuln/search])
 * Qualquer outra informação necessária para investigar e reproduzir o problema

As contas Phabricator podem ser criadas usando uma conta SUL Wiki existente.



O que acontece quando problemas de segurança são relatados
Vamos:
 * Determine whether we consider it to be a security issue
 * Attempt to reproduce the issue, and assign a priority to the bug based on its impact.
 * A patch will be added in Phabricator, and another person will review it.
 * The patch should contain regression tests, whenever possible.
 * The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.
 * If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.