Reporting security bugs/zh

本页面介绍了提交与维基媒体基金会运营或维护的软件及服务有关的安全問題的流程. 这包括MediaWiki及诸如维基百科等的维基媒体项目們.

我们允许负责任的披露，同时希望任何在我们的软件生态中发现安全問題的人都能保持宽容、谨慎行事.



什么是安全問題
以下列举的只是一个大致的标准，而非详尽列表. 
 * 至少有一项维基媒体生态服务的可用性受到影响的那些問題，特別尤其是，這是惡意的行動或活動所設置的結果的時候.
 * 當，由维基媒体基金会或附属实体所託管的数据完整性，存在被破坏、被篡改、或被其他未经授权的方式修改的风险之时.
 * 维基媒体基金会或其附属实所体拥有的数据的机密性受到损害，如本应限制访问的私密信息被刻意或无意地泄露、窃取或以未经授权的方式漏出时.

报告安全问题
如需提报安全问题，请发送邮件至[mailto:security@wikimedia.org security&#64;wikimedia.org]，或使用Phabricator上的“提报安全问题”表单.

此类报告在提報之时不会对公众公开. 在问题解决后，请参阅下文了解后续流程.



在安全问题报告中应包含什么
如果您通过向[mailto:security@wikimedia.org security&#64;wikimedia.org]发送邮件报告问题，请告诉我们您是否有Wikimedia Phabricator账号，以便我们将您添加至我们创建的bug中，这样您就可以追踪后续进度.
 * 复现问题的逐步流程
 * 如果可能的话，最好的實踐方法就是以概念验证代码來說明這個問題.
 * 如果漏洞可在维基媒体的计划（如维基百科或维基词典）中复现，请指出是哪个计划，因为不同站点的配置皆不相同
 * 如果适用，请指出您在问题发生时是否登入或登出了账户
 * 对于XSS，或漏洞涉及到特定的浏览器或插件，请指出您使用的浏览器及其版本号. 所使用的任何软件的具体版本号都会有帮助.
 * OWASP漏洞分类（使用OWASP Top 10 for 2017获取）或CWE编号（使用CWE By Research Concepts获取）
 * 如果已分配了CVE编号的话，请提供它（可使用NIST CVE数据库获取）
 * 其他有助于调查和复现问题的信息

Phabricator账户能通过现有的SUL Wiki账户创建.



當回報有安全問題時，會發生何事
我們將會： 
 * 決定我們是否認定此為安全問題
 * 試著重現此一問題，並依據其輕重緩急的程度對這個錯誤指定一個優先權.
 * 會在Phabricator中放入一個補丁程式，其他人會去審核它，
 * 這個補丁程式應在可行的時候，包含一些復原的測試.
 * 補丁程式將會套用在維基媒體的叢集上，只會給某些受信任的伙伴和散佈者存取這個補丁的權力.
 * 在適當之時，這個補丁程式會被放入下一個MediaWiki的正式版本裏面. 如果這個漏洞所造成的後果特別地糟，或是我們已收到這個漏洞已被很積極地利用的指示，我們會製造一個特殊的MediaWiki安全版本，以確保第三方是有受到保護的.
 * 當發佈更正時，我們會公佈Phabricator的ticket，並在版本公告中歸功於你，除非你有明確指出某些確切的資訊不得公開. 若你是透過email提報問題到security@undefinedwikimedia.org，email本身的內容可能會被公開.  可能包含你的email地址以及簽名，除非你額外要求.  在Phabricator標註永久保密會確保提交的內容將列為機密，直到永久.

歸功於提報者

 * 在修復問題的commit訊息中，功勞將歸於提報者.
 * 在官方公告的email中，功勞將歸於提報者. . 這些email列在MediaWiki公告的郵件列表裏.
 * 對於MediaWiki核心、對於打包函式庫、對於皮膚、對於延展功能的漏洞的功勞，都會列在維基媒體安全團隊/致謝頁面中.
 * 在現在，不會有任何預算能發給發現安全錯誤的安全提案. 這代表維基媒體基金會在這些計劃中不會給賞金，不論是給錢或是給商品.

追蹤報告的補救
當可能的時候，在補救進行時，安全錯誤必需要有下列附註： 提報者可以存取他自己寫的報告，這是標準做法. 但要能存取到受安全保護的議題，一般來說，這有另一套流程
 * 能重現更深層問題的逐步指令
 * 指向引發錯誤的commit的連結
 * 指向修復錯誤的Gerrit的changeset的連結

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.