Reporting security bugs/cs

Toto je proces hlášení bezpečnostních problémů v softwaru a službách spravovaných nebo provozovaných Wikimedia Foundation. To zahrnuje MediaWiki a projekty Wikimedie, jako je Wikipedie.

Podporujeme odpovědné zveřejnění a doufáme, že každý, kdo nalezne potenciální bezpečnostní problém v našem ekosystému, jedná uvážlivě a shovívavě.

Co je považováno za bezpečnostní problém
Toto je obecný nástin, nikoli vyčerpávající výčet rozsahu tohoto procesu.
 * Problémy, které ovlivňují dostupnost jedné nebo více služeb, které jsou součástí ekosystému Wikimedie, ale zejména pokud jsou výsledkem nepřátelského souboru akcí nebo kampaně.
 * Pokud integrita dat hostovaných nadací Wikimedia Foundation nebo přidruženými subjekty je ohrožena poškozením, neoprávněným zásahem nebo jinou úpravou neoprávněným způsobem.
 * Pokud je ohrožena důvěrnost dat vlastněných nadací Wikimedia Foundation nebo jejími přidruženými subjekty, takže informace, které mají být omezeny nebo soukromé, jsou prozrazeny, odhaleny, odcizeny nebo exfiltrovány neoprávněným způsobem.

Hlášení bezpečnostního problému
Chcete-li nahlásit problém, pošlete email na [mailto:security@wikimedia.org security&#64;wikimedia.org] nebo použijte formulář Hlášení bezpečnostního problému (Report Security Issue) na Phabricatoru.

Takové zprávy nebudou v době nahlášení veřejně viditelné. Další postup řešení problémů naleznete níže.

Co zahrnout do zprávy o bezpečnostním problému
Pokud nahlásíte zranitelnost emailem na adresu [mailto:security@wikimedia.org security&#64;wikimedia.org], dejte nám vědět, pokud máte účet Wikimedia Phabricator, protože vás přiřadíme k chybě, kterou vytvoříme, abyste mohli sledovat stav.
 * Podrobné pokyny pro reprodukci problému.
 * Pokud je to možné, osvědčeným postupem je proof-of-concept kód demonstrující problém.
 * Pokud lze zranitelnost reprodukovat na projektu Wikimedie (jako je Wikipedie nebo Wikislovník), uveďte, které konfigurace webu se liší.
 * V případě potřeby uveďte, zda jste přihlášeni nebo odhlášeni, když k problému dojde.
 * U XSS nebo zranitelností, které vyžadují specifický prohlížeč nebo plugin, uveďte, který prohlížeč a verzi používáte. Užitečná bude konkrétní verze jakéhokoli použitého softwaru.
 * OWASP kategorie zranitelnosti (s použitím OWASP Top 10 za rok 2017) nebo CWE id (s použitím CWE By Research Concepts)
 * CVE, pokud je přiřazen (pomocí databáze NIST CVE)
 * Jakékoli další informace potřebné k prošetření a reprodukci problému.

Účty Phabricatoru lze vytvořit pomocí existujícího účtu SUL Wiki.

Co se stane, když jsou hlášeny problémy se zabezpečením
Budeme:
 * Zjišťovat, zda to považujeme za bezpečnostní problém.
 * Pokusíme se problém reprodukovat a přiřadit chybě prioritu na základě jejího dopadu.
 * Do Phabricatoru přidáme opravu a to zkontroluje další osoba.
 * The patch should contain regression tests, whenever possible.
 * The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.
 * If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.