Reporting security bugs/hi

यह विकिमीडिया संस्थान द्वारा अनुरक्षित या चलाने जाने वाले सॉफ़्टवेयर पर सुरक्षा की समस्याओं को रिपोर्ट करने की प्रक्रिया है। इसमें मीडियाविकि, और विकिपीडिया जैसी विकिमीडिया परियोजनाएँ शामिल हैं।

हम ज़िम्मेदार प्रकटीकरण में विश्वास रखते हैं, और आशा करते हैं कि हमारी परियोजनाओं में सुरक्षा के मुद्दे पाने वाला हर सदस्य विवेक और सहनशीलता के साथ काम करेगा।



सुरक्षा की समस्या किसे कहा जा सकता है
यह एक साधारण प्रारूप है, और यह इस प्रक्रिया के उद्देश्यों की पूरी सूची नहीं है। 
 * Issues that affect the availability of one of more services that are part of the Wikimedia ecosystem, but in particular when this is the result of a hostile set of actions or campaign.
 * When the integrity of data hosted by the Wikimedia Foundation or affiliated entities is at risk of being corrupted, tampered with, or otherwise modified in an unauthorized manner.
 * When the confidentiality of data owned by the Wikimedia Foundation or its affiliated entities is compromised, such that information meant to be restricted or private is leaked, revealed, stolen, or exfiltrated in an unauthorized manner.

सुरक्षा की समस्या को रिपोर्ट करना
किसी समस्या को रिपोर्ट करने के लिए [mailto:security@wikimedia.org security&#64;wikimedia.org] पर ईमेल भेजें या फिर Phabricator पर Report Security Issue फ़ॉर्म का इस्तेमाल करें।

ये रिपोर्ट्स रिपोर्ट करने के समय पर सार्वजनिक रूप से दृश्य नहीं होंगे। जब समस्याओं को सुलझा लिया गया हो, उसके बाद की प्रक्रिया के लिए नीचे देखें।



सुरक्षा की समस्या के रिपोर्ट में क्या-क्या शामिल करना है
अगर आप [mailto:security@wikimedia.org security&#64;wikimedia.org] को ईमेल के ज़रिए कमज़ोरी को रिपोर्ट करते हैं, हमें बताएँ कि आपके पास एक विकिमीडिया Phabricator खाता है कि नहीं, क्योंकि हम आपको आपके रिपोर्ट किए हुए बग पर जोड़ देंगे जहाँ से आप उसकी स्थिति को ट्रैक कर पाएँगे।
 * समस्या तक पहुँचने के लिए चरण-दर-चरण अनुदेश
 * अगर संभव हो, तो समस्या को वर्णित करने के लिए अवधारणा-का-सबूत कोड, एक सर्वोत्तम प्रथा मानी जाती है
 * अगर कमज़ोरी को किसी विकिमीडिया परियोजना (जैसे विकिपीडिया या विकिकोश) पर दोबारा प्राप्त किया जा सकता है, कृपया बताएँ कि किस साइट पर, क्योंकि सबके कॉन्फ़िगरेशन्स अलग-अलग हैं।
 * अगर लागू हो, तो बताएँ कि समस्या के आते समय आपने लॉग-इन किया था या लॉग-आउट
 * XSS, या फिर ऐसी समस्याओं के लिए अपना ब्राउज़र और उसका संस्करण बताएँ जिनपर किसी विशिष्ट ब्राउज़र या प्लगिन की ज़रूरत होती है। किसी भी प्रयुक्त सॉफ़्टवेयर का विशिष्ट संस्करण काम आएगा।
 * OWASP कमज़ोरी श्रेणी (OWASP Top 10 for 2017 की मदद से), या CWE (CWE By Research Concepts की मदद से)
 * CVE अगर लागू हो (NIST CVE डेटाबेस की मदद से)
 * कोई भी दूसरी जानकारी जिससे समस्या को जाँच करने या दोबारा प्राप्त करने में आसानी हो

Phabricator खाते मौजूदा SUL विकि खातों की मदद से बनाए जा सकते हैं।



सुरक्षा की समस्याओं के रिपोर्ट किए जाने के बाद क्या होता है
हम:
 * पता लगाएँगे कि यह सुरक्षा की समस्या होगी या नहीं
 * समस्या को दोबारा पहुँचने की कोशिश करेंगे, और उसके प्रभाव के आधार पर बग को एक प्राथमिकता सौंपेंगे
 * Phabricator पर एक पैच जोड़ दिया जाएगा, और कोई दूसरा व्यक्ति उसे निरीक्षित करेगा।
 * पैच में यथासंभव प्रतीपगमन परीक्षण मौजूद होने चाहिए।
 * पैच को विकिमीडिया क्लस्टर पर तैनात कर दिया जाएगा, और कुछ विश्वसनीय सहायकों और वितरकों को उस पैच तक पहुँच सौंपी जाएगी।
 * अगर लागू हो, पैच को मीडियाविकि के अगले प्रकाशन में शामिल किया जाएगा। If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.