Reporting security bugs/zh

本页面介绍了提交与维基媒体基金会运营或维护的软件及服务有关的安全漏洞的流程. 这包括MediaWiki及诸如维基百科等维基媒体项目.

我们允许负责任的披露，同时希望任何在我们的软件生态中发现安全漏洞的人都能保持宽容、谨慎行事.



什么是安全漏洞
以下列举的只是一个大致的标准，而非详尽列表. 
 * 由于受到攻击，造成至少一项维基媒体生态服务的可用性受到影响时.
 * 托管于维基媒体基金会或附属实体的数据完整性存在被破坏、篡改或以未经授权的方式修改的风险时.
 * 维基媒体基金会或其附属实体拥有的数据的机密性受到损害，如本应限制访问的私密信息被刻意或无意地泄露、窃取或以未经授权的方式公开时.

报告安全问题
如需报告安全问题，请发送邮件至[mailto:security@wikimedia.org security&#64;wikimedia.org]，或使用Phabricator上的“Report Security Issue”（报告安全问题）表单.

此类报告在创建时不会对公众公开. 在问题解决后，请参阅下文了解后续流程.



在安全问题报告中应包含什么
如果您通过向[mailto:security@wikimedia.org security&#64;wikimedia.org]发送邮件报告问题，请告诉我们您是否有Wikimedia Phabricator账号，以便我们将您添加至我们创建的bug中，这样您就可以追踪后续进度.
 * 复现问题的逐步流程
 * 如果可能的话，请提供概念验证（Proof of Concept）代码
 * 如果问题可在维基媒体计划（如维基百科或维基词典）中复现，请指出是哪个计划，因为不同站点的配置不一样
 * 如果适用，请指出您在问题发生时是否登入或登出了账户
 * 对于XSS，或问题涉及到特定的浏览器或插件，请指出您使用的浏览器及其版本号. 所使用的任何软件的具体版本号都会有帮助.
 * OWASP漏洞分类（使用OWASP Top 10 for 2017获取）或CWE编号（使用CWE By Research Concepts获取）
 * 如果已分配了CVE编号的话，请提供它（可使用NIST CVE数据库获取）
 * 其他有助于调查和复现问题的信息

Phabricator账户能通过现有的SUL Wiki账户创建.



當回報有安全問題時，會發生何事
我們將會： 
 * 決定我們是否認定此為安全問題
 * 試著重現此一問題，並依據其輕重緩急的程度對這個錯誤指定一個優先權.
 * 會在Phabricator中放入一個補丁程式，其他人會去審核它，
 * 這個補丁程式應在可行的時候，包含一些復原的測試.
 * 補丁程式將會套用在維基媒體的叢集上，只會給某些受信任的伙伴和散佈者存取這個補丁的權力.
 * 在適當之時，這個補丁程式會被放入下一個MediaWiki的正式版本裏面. 如果這個漏洞所造成的後果特別地糟，或是我們已收到這個漏洞已被很積極地利用的指示，我們會製造一個特殊的MediaWiki安全版本，以確保第三方是有受到保護的.
 * 當發佈更正時，我們會公佈Phabricator的ticket，並在版本公告中歸功於你，除非你有明確指出某些確切的資訊不得公開. 若你是透過email提報問題到security@undefinedwikimedia.org，email本身的內容可能會被公開.  可能包含你的email地址以及簽名，除非你額外要求.  在Phabricator標註永久保密會確保提交的內容將列為機密，直到永久.

歸功於提報者

 * 在修復問題的commit訊息中，功勞將歸於提報者.
 * 在官方公告的email中，功勞將歸於提報者. . 這些email列在MediaWiki公告的郵件列表裏.
 * 對於MediaWiki核心、對於打包函式庫、對於皮膚、對於延展功能的弱點的功勞，都會列在維基媒體安全團隊/致謝頁面中.
 * 在現在，不會有任何預算能發給發現安全漏洞的安全提案. 這代表維基媒體基金會在這些計劃中不會給賞金，不論是給錢或是給商品.

追蹤報告的補救
當可能的時候，在補救進行時，安全漏洞必需要有下列註釋： 提報者可以存取他自己寫的報告，這是標準做法. 但要能存取到受安全保護的議題，一般來說，這有另一套流程
 * 能重現更深層的漏洞的逐步指令
 * 指向引發漏洞的commit的連結
 * 指向修復漏洞的Gerrit的changeset的連結

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.