Reporting security bugs/cs

Toto je proces hlášení bezpečnostních problémů v softwaru a službách spravovaných nebo provozovaných Wikimedia Foundation. To zahrnuje MediaWiki a projekty Wikimedie, jako je Wikipedie.

Podporujeme odpovědné zveřejnění a doufáme, že každý, kdo nalezne potenciální bezpečnostní problém v našem ekosystému, jedná uvážlivě a shovívavě.



Co je považováno za bezpečnostní problém
Toto je obecný nástin, nikoli vyčerpávající výčet rozsahu tohoto procesu. 
 * Problémy, které ovlivňují dostupnost jedné nebo více služeb, které jsou součástí ekosystému Wikimedie, ale zejména pokud jsou výsledkem nepřátelského souboru akcí nebo kampaně.
 * Pokud integrita dat hostovaných nadací Wikimedia Foundation nebo přidruženými subjekty je ohrožena poškozením, neoprávněným zásahem nebo jinou úpravou neoprávněným způsobem.
 * Pokud je ohrožena důvěrnost dat vlastněných nadací Wikimedia Foundation nebo jejími přidruženými subjekty, takže informace, které mají být omezeny nebo soukromé, jsou prozrazeny, odhaleny, odcizeny nebo exfiltrovány neoprávněným způsobem.

Hlášení bezpečnostního problému
Chcete-li nahlásit problém, pošlete email na [mailto:security@wikimedia.org security&#64;wikimedia.org] nebo použijte formulář Hlášení bezpečnostního problému (Report Security Issue) na Phabricatoru.

Takové zprávy nebudou v době nahlášení veřejně viditelné. Další postup řešení problémů naleznete níže.



Co zahrnout do zprávy o bezpečnostním problému

 * Podrobné pokyny pro reprodukci problému.
 * Pokud je to možné, osvědčeným postupem je proof-of-concept kód demonstrující problém.
 * Pokud lze zranitelnost reprodukovat na projektu Wikimedie (jako je Wikipedie nebo Wikislovník), uveďte, které konfigurace webu se liší.
 * V případě potřeby uveďte, zda jste přihlášeni nebo odhlášeni, když k problému dojde.
 * U XSS nebo zranitelností, které vyžadují specifický prohlížeč nebo plugin, uveďte, který prohlížeč a verzi používáte. Užitečná bude konkrétní verze jakéhokoli použitého softwaru.
 * OWASP kategorie zranitelnosti (s použitím OWASP Top 10 za rok 2017) nebo CWE id (s použitím CWE By Research Concepts)
 * CVE, pokud je přiřazen (pomocí databáze NIST CVE)
 * Jakékoli další informace potřebné k prošetření a reprodukci problému.

Pokud nahlásíte zranitelnost emailem na adresu [mailto:security@wikimedia.org security&#64;wikimedia.org], dejte nám vědět, pokud máte účet Wikimedia Phabricator, protože vás přiřadíme k chybě, kterou vytvoříme, abyste mohli sledovat stav.

Účty Phabricatoru lze vytvořit pomocí existujícího účtu SUL Wiki.



Co se stane, když jsou hlášeny problémy se zabezpečením
Budeme:


 * Zjišťovat, zda to považujeme za bezpečnostní problém.
 * Pokusíme se problém reprodukovat a přiřadit chybě prioritu na základě jejího dopadu.
 * Do Phabricatoru přidáme opravu a to zkontroluje další osoba.
 * Záplata by měla obsahovat regresní testy, kdykoli je to možné.
 * Oprava bude nasazena na clusteru Wikimedie a přístup k opravě bude udělen několika důvěryhodným partnerům a distributorům.
 * Pokud je to možné, bude záplata zahrnuta v příštím vydání MediaWiki. Pokud je dopad zranitelnosti obzvláště špatný nebo máme náznaky, že je aktivně zneužívána, vydáme speciální bezpečnostní verzi MediaWiki, abychom zajistili ochranu třetích stran.
 * Pokud výslovně neuvedete, že určité informace nesmí být zveřejněny, uveřejníme lístek Phabricator, jakmile bude oprava vydána, a připíšeme vám vaši zásluhu v oznámení o vydání. Pokud problém nahlásíte emailem na adresu security@undefinedwikimedia.org, může být samotný email zveřejněn. Může obsahovat vaši emailovou adresu a podpis, pokud nepožádáte o něco jiného. Značka Phabricatoru PermanentlyPrivate zajistí, že zprávy budou trvale důvěrné.

Poděkování reportérům

 * Poděkování bude přiznáno reportérovi ve zprávě k opravenému problému.
 * Poděkování bude reportérovi přiznáno v oficiálním emailu s oznámením, který půjde do MediaWiki-announce mailing listů.
 * Poděkování bude uděleno Wikimedia Security Team/Thanks za zranitelnosti jádra MediaWiki nebo přibalené knihovny, vzhledu nebo rozšíření.
 * V současné době neexistuje žádný rozpočet na bezpečnostní zprávy. To znamená, že se nadací Wikimedia Foundation neplatí žádné odměny za odhalení bezpečnostních chyb na těchto projektech, ať už v penězích nebo ve zboží.



Oprava zprávy o sledování
Pokud je to během procesu nápravy možné, měly by bezpečnostní chyby obsahovat komentáře, které zahrnují:


 * Podrobné pokyny pro reprodukci problému.
 * Odkazy na návaznosti, které zavedly chybu.
 * Odkazy na sady změn Gerrit, které opravují chybu.

Přístup reportérů k jejich vlastním vytvořeným reportům je standardní, ale pro získání přístupu k bezpečnostním chráněným problémům obecně existuje samostatný proces.



Přispívané záplaty
Pokud byste chtěli poskytnout opravu bezpečnostní chyby, přidejte ji prosím jako přílohu k úloze Phabricator. Záplatu můžete buď přetáhnout do oblasti komentáře nebo zahrnout rozdíl záplaty jako komentář.

Prosím nezasílejte záplaty Gerrit. Všechny změny Gerrit (včetně "návrhů") jsou veřejně přístupné.


 * Viz část Vytvoření bezpečnostní záplaty na wikitech pro kroky k vytvoření těchto záplat a část Bezpečnostní záplaty, jak se tyto záplaty nasazují.

