Reporting security bugs/hi

यह विकिमीडिया संस्थान द्वारा अनुरक्षित या चलाने जाने वाले सॉफ़्टवेयर पर सुरक्षा की समस्याओं को रिपोर्ट करने की प्रक्रिया है। इसमें मीडियाविकि, और विकिपीडिया जैसी विकिमीडिया परियोजनाएँ शामिल हैं।

हम ज़िम्मेदार प्रकटीकरण में विश्वास रखते हैं, और आशा करते हैं कि हमारी परियोजनाओं में सुरक्षा के मुद्दे पाने वाला हर सदस्य विवेक और सहनशीलता के साथ काम करेगा।



सुरक्षा की समस्या किसे कहा जा सकता है
यह एक साधारण प्रारूप है, और यह इस प्रक्रिया के उद्देश्यों की पूरी सूची नहीं है। 
 * समस्याएँ जो ऐसी एक या एकाधिक सेवाओं की उपलब्धता को प्रभावित करते हैं जो विकिमीडिया परियोजनाओं का हिस्सा हैं, मगर विशिष्ट रूप से जो किसी विरोधी कार्य या अभियान के परिणाम हों।
 * जब विकिमीडिया संस्थान या संबद्ध संगठनों द्वारा होस्ट की जाने वाली डेटा की अखंडता को भ्रष्ट किए जाने, उसके साथ छेड़खानी किए जाने, या फिर बिना अनुमति के बदले जाने का खतरा हो।
 * When the confidentiality of data owned by the Wikimedia Foundation or its affiliated entities is compromised, such that information meant to be restricted or private is leaked, revealed, stolen, or exfiltrated in an unauthorized manner.

सुरक्षा की समस्या को रिपोर्ट करना
किसी समस्या को रिपोर्ट करने के लिए [mailto:security@wikimedia.org security&#64;wikimedia.org] पर ईमेल भेजें या फिर Phabricator पर Report Security Issue फ़ॉर्म का इस्तेमाल करें।

ये रिपोर्ट्स रिपोर्ट करने के समय पर सार्वजनिक रूप से दृश्य नहीं होंगे। जब समस्याओं को सुलझा लिया गया हो, उसके बाद की प्रक्रिया के लिए नीचे देखें।



सुरक्षा की समस्या के रिपोर्ट में क्या-क्या शामिल करना है
अगर आप [mailto:security@wikimedia.org security&#64;wikimedia.org] को ईमेल के ज़रिए कमज़ोरी को रिपोर्ट करते हैं, हमें बताएँ कि आपके पास एक विकिमीडिया Phabricator खाता है कि नहीं, क्योंकि हम आपको आपके रिपोर्ट किए हुए बग पर जोड़ देंगे जहाँ से आप उसकी स्थिति को ट्रैक कर पाएँगे।
 * समस्या तक पहुँचने के लिए चरण-दर-चरण अनुदेश
 * अगर संभव हो, तो समस्या को वर्णित करने के लिए अवधारणा-का-सबूत कोड, एक सर्वोत्तम प्रथा मानी जाती है
 * अगर कमज़ोरी को किसी विकिमीडिया परियोजना (जैसे विकिपीडिया या विकिकोश) पर दोबारा प्राप्त किया जा सकता है, कृपया बताएँ कि किस साइट पर, क्योंकि सबके कॉन्फ़िगरेशन्स अलग-अलग हैं।
 * अगर लागू हो, तो बताएँ कि समस्या के आते समय आपने लॉग-इन किया था या लॉग-आउट
 * XSS, या फिर ऐसी समस्याओं के लिए अपना ब्राउज़र और उसका संस्करण बताएँ जिनपर किसी विशिष्ट ब्राउज़र या प्लगिन की ज़रूरत होती है। किसी भी प्रयुक्त सॉफ़्टवेयर का विशिष्ट संस्करण काम आएगा।
 * OWASP कमज़ोरी श्रेणी (OWASP Top 10 for 2017 की मदद से), या CWE (CWE By Research Concepts की मदद से)
 * CVE अगर लागू हो (NIST CVE डेटाबेस की मदद से)
 * कोई भी दूसरी जानकारी जिससे समस्या को जाँच करने या दोबारा प्राप्त करने में आसानी हो

Phabricator खाते मौजूदा SUL विकि खातों की मदद से बनाए जा सकते हैं।



सुरक्षा की समस्याओं के रिपोर्ट किए जाने के बाद क्या होता है
हम: 
 * पता लगाएँगे कि यह सुरक्षा की समस्या होगी या नहीं
 * समस्या को दोबारा पहुँचने की कोशिश करेंगे, और उसके प्रभाव के आधार पर बग को एक प्राथमिकता सौंपेंगे
 * Phabricator पर एक पैच जोड़ दिया जाएगा, और कोई दूसरा व्यक्ति उसे निरीक्षित करेगा।
 * पैच में यथासंभव प्रतीपगमन परीक्षण मौजूद होने चाहिए।
 * पैच को विकिमीडिया क्लस्टर पर तैनात कर दिया जाएगा, और कुछ विश्वसनीय सहायकों और वितरकों को उस पैच तक पहुँच सौंपी जाएगी।
 * अगर लागू हो, पैच को मीडियाविकि के अगले प्रकाशन में शामिल किया जाएगा। अगर कमज़ोरी का प्रभाव काफ़ी बुरा होता है, या फिर हमारे पास खबर आती है कि इसका सक्रिय रूप से गलत फ़ायदा उठाया जा रहा हो, हम मीडियाविकि का एक विशेष सुरक्षा प्रकाशन बनाएँगे ताकि तृतीय-पक्ष सुरक्षित रहे।
 * अगर आप स्पष्ट बताते नहीं कि कुछ जानकारी को प्रकाशित न किया जाए, सुधार के प्रकाशित किए जाने के बाद हम Phabricator टिकट को सार्वजनिक कर देंगे, और घोषणा में आपको श्रेय देंगे। अगर आप security@undefinedwikimedia.org को ईमेल के ज़रिए समस्या को रिपोर्ट को रिपोर्ट करते हैं, ईमेल को ही सार्वजनिक रूप से प्रकाशित कर दिया जाएगा। इसमें आपका ईमेल पता और हस्ताक्षर शामिल होगा, अगर आपको कोई आपत्ति न हो तो। Phabricator टैग PermanentlyPrivate से निश्चित किया जाएगा कि रिपोर्ट्स को हमेशा गुप्त रखा जाएगा।

रिपोर्ट करने वालों का श्रेय

 * समस्या को सुधारने वाले कमिट संदेश में रिपोर्ट करने वाले को श्रेय दिया जाएगा
 * MediaWiki-announce मेलिंग सूचियों में जाने वाले आधिकारिक घोषणा ईमेल में रिपोर्ट करने वाले को श्रेय दिया जाएगा
 * मीडियाविकि मूल या फिर बंडल किए गए किसी लाइब्रेरी, स्किन, या एक्सटेंशन में कमज़ोरियों के लिए Wikimedia Security Team/Thanks पर श्रेय दिया जाएगा।
 * इस समय सुरक्षा के रिपोर्ट्स के लिए कोई बजट नहीं है। इसका मतलब है कि इन परियोजनाओं पर सुरक्षा के बग्स ढूँढ़ने के लिए विकिमीडिया संस्थान द्वारा कोई इनाम नहीं दी जाती है, न पैसों और न ही सामान के रूप में।

रिपोर्ट के उपचार को ट्रैक करना
उपचार के कार्य के दौरान जब संभव हो, सुरक्षा के बग्स पर टिप्पणियाँ होनी चाहिए जिनमें शामिल होने चाहिए: रिपोर्ट करने वाला मानक विधि से लिखे हुए रिपोर्ट्स तक पहुँच सकता है, मगर सुरक्षा की सुरक्षित समस्याओं के लिए एक दूसरी प्रक्रिया है
 * अतिरिक्त समस्याओं तक पहुँचने के लिए चरण-दर-चरण अनुदेश
 * उन कमिट्स की कड़ियाँ जिनसे बग आया था
 * Gerrit चेंजसेट्स की कड़ियाँ जिनमें बग को ठीक किया गया था



पैचेस का योगदान करना
अगर आप किसी सुरक्षा के बग के लिए पैच प्रदान करना चाहेंगे, कृपया उसे Phabricator टास्क के साथ एक संलग्नक के रूप में जोड़ें। आप पैच को टिप्पणी के क्षेत्र पर ड्रैग-और-ड्रॉप कर सकते हैं, या फिर पैच के अंतर को एक टिप्पणी के रूप में जोड़ सकते हैं।

कृपया Gerrit पर पैचेस प्रस्तुत न करें। सभी Gerrit बदलाव ("ड्राफ़्ट्स" सहित) सार्वजनिक हैं।
 * इन पैचेस को बनाने के चरणों के लिए विकिटेक पर Creating a Security Patch देखें, और इन पैचों के तैनात-कार्य के बारे में जानकारी के लिए Security patches।

