Reporting security bugs/nl

Dit proces is voor het melden van beveiligingsproblemen in de software en de services die onderhouden en/of gebruikt worden door de WikiMedia Foundation. Dit omvat MediaWiki en Wikimedia projecten als Wikipedia.

Wij ondersteunen verantwoording nemende openbaarmaking en we hopen dat iedereen die een mogelijk beveiligingsprobleem in ons systeem vindt dat discreet en met begrip meldt.

Wat is een beveiligingsprobleem
Dit is een algemene beschrijving en niet een uitputtende allesomvattende lijst van op het gebied van dit proces.
 * Onderwerpen die gevolgen hebben voor de beschikbaarheid van een of meer services van Wikimedia, maar in het bijzonder als dat het resultaat is van een vijandige actie of champagne.
 * Als de integriteit van de gegevens op de Wikimedia Foundation of bijbehorende eenheden gevaar loopt of beschadigt of vervalst kan worden of anderszins op een niet toegestane manier gewijzigd kan worden.
 * Als de vertrouwelijkheid van de gegevens van de Wikimedia Foundation of bijbehorende partij wordt geschonden, dus als afgeschermde gegevens openbaar worden gemaakt of gestolen worden.

Een beveiligingsprobleem melden
Om een probleem te melden, e-mail [mailto:security@wikimedia.org security&#64;wikimedia.org] of gebruik het Report Security Issue formulier op Phabricator.

Deze rapporten zijn niet openbaar op het moment van rapporteren. Hieronder staat aangegeven hoe het proces verder verloopt als het probleem is opgelost.

Wat moet er bij het melden worden aangegeven
Als je het probleem via e-mail aan [mailto:security@wikimedia.org security&#64;wikimedia.org] meldt, geef dan aan of je een Wikimedia Phabricator account hebt, dan voegen we je toe aan de melding die we daar maken, dan kun je de status van het probleem volgen.
 * Een opsomming van de stappen om het probleem te reproduceren
 * Indien mogelijk, proof-of-concept code die aangeeft dat het probleem de beste werkwijze is in de praktijk
 * Als de kwetsbaarheid op een Wikimedia project (Wikipedia of Wiktionary) kan worden gereproduceerd, geeft dan aan of dat afhankelijk is van de instellingen van de website
 * Indien van toepassing, was je ingelogd of niet toen het probleem optrad.
 * Voor XSS of kwetsbaarheden die alleen bij een bepaalde webbrowser of plugin optreden, geef aan welke webbrowser/plugin en versie je gebruikt. Ook de gebruikte versie van welke software dan ook kan nuttig zijn.
 * OWASP kwetsbaarheid categorie (gebruik OWASP Top 10 in 2017), of CWE id (gebruik CWE By Research Concepts)
 * CVE indien toegewezen (gebruik de NIST CVE database)
 * Alle overige informatie die nodig is om het probleem te onderzoeken en te reproduceren

Een Phabricator account kan worden aangemaakt met een bestaand SUL Wiki account.

Wat gebeurt er na het rapporteren
We gaan:
 * Bekijken of we het als een beveiligingsprobleem zien.
 * We proberen de fout te reproduceren en er een prioriteit aan toe kennen op grond van de impact.
 * Een aanpassing wordt toegevoegd in Phabricator, een andere persoon gaat die wijziging beoordelen.
 * De wijziging bevat regressietesten, indien mogelijk.
 * De wijziging wordt uitgerold op het Wikimedia cluster, enige vertrouwde parners en distributeurs krijgen toegang tot de 'patch'.
 * Indien het uitkomt wordt de 'patch' toegevoegd aan de volgende release van MediaWiki. Als de impact van de kwetsbaarheid groot is of het idee er is dat er misbruik van wordt gemaakt van de fout dan wordt er een extra beveiligingsrelease van MediaWiki om zeker te zijn dat de derde partijen zo snel mogelijk weer beschermd worden.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.