Reporting security bugs/hi

यह विकिमीडिया संस्थान द्वारा अनुरक्षित या चलाने जाने वाले सॉफ़्टवेयर पर सुरक्षा की समस्याओं को रिपोर्ट करने की प्रक्रिया है। इसमें मीडियाविकि, और विकिपीडिया जैसी विकिमीडिया परियोजनाएँ शामिल हैं।

हम ज़िम्मेदार प्रकटीकरण में विश्वास रखते हैं, और आशा करते हैं कि हमारी परियोजनाओं में सुरक्षा के मुद्दे पाने वाला हर सदस्य विवेक और सहनशीलता के साथ काम करेगा।



सुरक्षा की समस्या किसे कहा जा सकता है
यह एक साधारण प्रारूप है, और यह इस प्रक्रिया के उद्देश्यों की पूरी सूची नहीं है। 
 * समस्याएँ जो ऐसी एक या एकाधिक सेवाओं की उपलब्धता को प्रभावित करते हैं जो विकिमीडिया परियोजनाओं का हिस्सा हैं, मगर विशिष्ट रूप से जो किसी विरोधी कार्य या अभियान के परिणाम हों।
 * जब विकिमीडिया संस्थान या संबद्ध संगठनों द्वारा होस्ट की जाने वाली डेटा की अखंडता को भ्रष्ट किए जाने, उसके साथ छेड़खानी किए जाने, या फिर बिना अनुमति के बदले जाने का खतरा हो।
 * जब विकिमीडिया संस्थान या इसके संबद्ध संगठनों द्वारा जिस डेटा के लिए स्वामित्व निभाई जाती है, उसकी गोपनीयता को खतरा हो, जिसमें निजी या सीमित जानकारी को लीक कर दिया जाता है, चुरा लिया जाता है, या फिर बिना अनुमति के बाहर ले जाया जाता है।

सुरक्षा की समस्या को रिपोर्ट करना
किसी समस्या को रिपोर्ट करने के लिए [mailto:security@wikimedia.org security&#64;wikimedia.org] पर ईमेल भेजें या फिर Phabricator पर Report Security Issue फ़ॉर्म का इस्तेमाल करें।

ये रिपोर्ट्स रिपोर्ट करने के समय पर सार्वजनिक रूप से दृश्य नहीं होंगे। जब समस्याओं को सुलझा लिया गया हो, उसके बाद की प्रक्रिया के लिए नीचे देखें।



सुरक्षा की समस्या के रिपोर्ट में क्या-क्या शामिल करना है

 * समस्या तक पहुँचने के लिए चरण-दर-चरण अनुदेश
 * अगर संभव हो, तो समस्या को वर्णित करने के लिए अवधारणा-का-सबूत कोड, एक सर्वोत्तम प्रथा मानी जाती है
 * अगर कमज़ोरी को किसी विकिमीडिया परियोजना (जैसे विकिपीडिया या विकिकोश) पर दोबारा प्राप्त किया जा सकता है, कृपया बताएँ कि किस साइट पर, क्योंकि सबके कॉन्फ़िगरेशन्स अलग-अलग हैं।
 * अगर लागू हो, तो बताएँ कि समस्या के आते समय आपने लॉग-इन किया था या लॉग-आउट
 * XSS, या फिर ऐसी समस्याओं के लिए अपना ब्राउज़र और उसका संस्करण बताएँ जिनपर किसी विशिष्ट ब्राउज़र या प्लगिन की ज़रूरत होती है। किसी भी प्रयुक्त सॉफ़्टवेयर का विशिष्ट संस्करण काम आएगा।
 * OWASP कमज़ोरी श्रेणी (OWASP Top 10 for 2017 की मदद से), या CWE (CWE By Research Concepts की मदद से)
 * CVE अगर लागू हो (NIST CVE डेटाबेस की मदद से)
 * कोई भी दूसरी जानकारी जिससे समस्या को जाँच करने या दोबारा प्राप्त करने में आसानी हो

अगर आप [mailto:security@wikimedia.org security&#64;wikimedia.org] को ईमेल के ज़रिए कमज़ोरी को रिपोर्ट करते हैं, हमें बताएँ कि आपके पास एक विकिमीडिया Phabricator खाता है कि नहीं, क्योंकि हम आपको आपके रिपोर्ट किए हुए बग पर जोड़ देंगे जहाँ से आप उसकी स्थिति को ट्रैक कर पाएँगे।

Phabricator खाते मौजूदा SUL विकि खातों की मदद से बनाए जा सकते हैं।



सुरक्षा की समस्याओं के रिपोर्ट किए जाने के बाद क्या होता है
हम:


 * पता लगाएँगे कि यह सुरक्षा की समस्या होगी या नहीं
 * समस्या को दोबारा पहुँचने की कोशिश करेंगे, और उसके प्रभाव के आधार पर बग को एक प्राथमिकता सौंपेंगे
 * Phabricator पर एक पैच जोड़ दिया जाएगा, और कोई दूसरा व्यक्ति उसे निरीक्षित करेगा।
 * पैच में यथासंभव प्रतीपगमन परीक्षण मौजूद होने चाहिए।
 * पैच को विकिमीडिया क्लस्टर पर तैनात कर दिया जाएगा, और कुछ विश्वसनीय सहायकों और वितरकों को उस पैच तक पहुँच सौंपी जाएगी।
 * अगर लागू हो, पैच को मीडियाविकि के अगले प्रकाशन में शामिल किया जाएगा। अगर कमज़ोरी का प्रभाव काफ़ी बुरा होता है, या फिर हमारे पास खबर आती है कि इसका सक्रिय रूप से गलत फ़ायदा उठाया जा रहा हो, हम मीडियाविकि का एक विशेष सुरक्षा प्रकाशन बनाएँगे ताकि तृतीय-पक्ष सुरक्षित रहे।
 * अगर आप स्पष्ट बताते नहीं कि कुछ जानकारी को प्रकाशित न किया जाए, सुधार के प्रकाशित किए जाने के बाद हम Phabricator टिकट को सार्वजनिक कर देंगे, और घोषणा में आपको श्रेय देंगे। अगर आप security@undefinedwikimedia.org को ईमेल के ज़रिए समस्या को रिपोर्ट को रिपोर्ट करते हैं, ईमेल को ही सार्वजनिक रूप से प्रकाशित कर दिया जाएगा। इसमें आपका ईमेल पता और हस्ताक्षर शामिल होगा, अगर आपको कोई आपत्ति न हो तो। Phabricator टैग PermanentlyPrivate से निश्चित किया जाएगा कि रिपोर्ट्स को हमेशा गुप्त रखा जाएगा।

रिपोर्ट करने वालों का श्रेय

 * समस्या को सुधारने वाले कमिट संदेश में रिपोर्ट करने वाले को श्रेय दिया जाएगा
 * MediaWiki-announce मेलिंग सूचियों में जाने वाले आधिकारिक घोषणा ईमेल में रिपोर्ट करने वाले को श्रेय दिया जाएगा
 * मीडियाविकि मूल या फिर बंडल किए गए किसी लाइब्रेरी, स्किन, या एक्सटेंशन में कमज़ोरियों के लिए Wikimedia Security Team/Thanks पर श्रेय दिया जाएगा।
 * इस समय सुरक्षा के रिपोर्ट्स के लिए कोई बजट नहीं है। इसका मतलब है कि इन परियोजनाओं पर सुरक्षा के बग्स ढूँढ़ने के लिए विकिमीडिया संस्थान द्वारा कोई इनाम नहीं दी जाती है, न पैसों और न ही सामान के रूप में।



रिपोर्ट के उपचार को ट्रैक करना
उपचार के कार्य के दौरान जब संभव हो, सुरक्षा के बग्स पर टिप्पणियाँ होनी चाहिए जिनमें शामिल होने चाहिए:


 * अतिरिक्त समस्याओं तक पहुँचने के लिए चरण-दर-चरण अनुदेश
 * उन कमिट्स की कड़ियाँ जिनसे बग आया था
 * Gerrit चेंजसेट्स की कड़ियाँ जिनमें बग को ठीक किया गया था

रिपोर्ट करने वाला मानक विधि से लिखे हुए रिपोर्ट्स तक पहुँच सकता है, मगर सुरक्षा की सुरक्षित समस्याओं के लिए एक दूसरी प्रक्रिया है



पैचेस का योगदान करना
अगर आप किसी सुरक्षा के बग के लिए पैच प्रदान करना चाहेंगे, कृपया उसे Phabricator टास्क के साथ एक संलग्नक के रूप में जोड़ें। आप पैच को टिप्पणी के क्षेत्र पर ड्रैग-और-ड्रॉप कर सकते हैं, या फिर पैच के अंतर को एक टिप्पणी के रूप में जोड़ सकते हैं।

कृपया Gerrit पर पैचेस प्रस्तुत न करें। सभी Gerrit बदलाव ("ड्राफ़्ट्स" सहित) सार्वजनिक हैं।


 * इन पैचेस को बनाने के चरणों के लिए विकिटेक पर Creating a Security Patch देखें, और इन पैचों के तैनात-कार्य के बारे में जानकारी के लिए Security patches।

