Reporting security bugs/ar

هذه هي الخطوات المتبعة للإبلاغ عن المشاكل الأمنية في البرمجيات والخدمات التي تتولى مؤسسة ويكيميديا صيانتها وتشغيلها. يشمل ذلك برمجيات ميدياويكي ومشاريع ويكيميديا مثل ويكيبيديا.

نحن نساند أعمال الإفصاح الذي يتحمل المسؤولية ونأمل من أي شخص يجد مسألة أمنية محتملة في منظومتنا أن يتصرف بحذر وحُلُم.

ما الذي يعتبر مسألة أمنية
إليك موجز عام، لا قائمة كاملة بنطاق تغطية هذه الخطوات.
 * المسائل التي تؤثر على توفر واحد من الخدمات العديدة التي تعد جزءً من منظومة ويكيميديا، إلا أن هذا الأمر ينطبق على وجه التحديد حينما يكون ذلك نتيجة لمجموعة تصرفات عدوانية أو حملة عدوانية.
 * حينما تكون نزاهة البيانات التي تستضيفها مؤسسة ويكيميديا أو الجهات الشقيقة معرضة لخطر التحريف أو العبث أو التعديل بأي طريق آخر بطريقة غير مصرح بها.
 * حينما تتعرض خصوصية وسرية البيانات التي تملكها مؤسسة ويكيميديا أو الجهات الشقيقة للاختراق، بطريقة تجعل من تلك المعلومات المقصود حصر الوصول إليها أو أن تكون خاصة تتعرض للتسريب أو الكشف عنها أو سرقتها أو التسرب بطريقة غير مصرح بها.

الإبلاغ عن مسألة أمنية
للإبلاغ عن مسألة، أرسل رسالة بريد إلكتروني إلى [mailto:security@wikimedia.org security&#64;wikimedia.org] أو استخدام نموذج أبلغ عن مسألة أمنية «Report Security Issue» الموجود على فبريكاتور «Phabricator».

لن تكون هذه البلاغات معروضة على العامة في وقت الإبلاغ عنها. طالع ما يلي كي تتعرف على الخطوات التالية حال تصويب المسائل.

ما هي العناصر المطلوب ذكرها في أي بلاغ عن مسائل أمنية
إن أبلغت عن الثغرة الأمنية عن طريق إرسال رسالة بريد إلكتروني إلى [mailto:security@wikimedia.org security&#64;wikimedia.org]، أبلغنا إن كان لديك حساب على فبرياكتور ويكيميديا منذ أننا سوف نضيفك إلى بلاغ العطل الفني الذي أنشأناه، حتى يمكنك متابعة الحالة.
 * تعليمات خطوة بخطوة من أجل تكرار المسألة
 * إن أمكن، كود برمجي لإثبات المفهوم يعرض المسألة هو أفضل السبل
 * إن أمكن تكرار الثغرة الأمنية على واحد من مشاريع ويكيميديا (مثل ويكيبيديا أو ويكاموس) يرجى ذكر المشروع، منذ أن إعدادات الضبط تختلف من موقع لآخر
 * لو كان الأمر منطبقًا، اذكر إن كنت مسجل الدخول أو غير مسجل الدخول حينما حدثت المسألة
 * فيما يخص البرمجة التي تغطي أكثر من موقع واحد أو الثغرات الأمنية التي تتطلب متصفح إنترنت محدد أو أداة ملحقة به، يرجى ذكر ما هو المتصفح والإصدار الذي تستخدمه. سوف يكون مفيدًا ذكر الإصدار المحدد لأية برمجيات تستخدمها.
 * ذكر تصنيف أواسب «OWASP» للثغرة الأمنية (مستخدمًا العشر الأوائل لأواسب لسنة 2017) أو معرّف ترقيم الضعف العمومي «CWE» (مستخدمًا ترقيم الشعف العمومي الذي يتبعه «Research Concepts»)
 * ذكر الثغرات الأمنية والمخاطر العمومية (CVE) لو كان موجودًا (مستخدمًا قاعدة بيانات NIST CVE)
 * أية معلومات أخرى مطلوبة لتقصي المسألة وتكرارها

يمكن إنشاء حسابات فبريكاتور مستخدمًا حساب ويكي يستخدم لتسجيل الدخول الموحد «SUL».

ماذا يحدث حينما يبلغ عن مسألة أمنية
سوف نفعل ما يلي:
 * نقرر ما إذا كنا سوف نعتبرها مسألة أمنية أم لا
 * نحاول تكرار المسألة وتعيين مستوى أولوية للعطل الفني استنادًا إلى أثرها.
 * سوف تضاف رقعة برمجية إلى فبريكاتور وسيتولى شخص آخر مراجعتها.
 * يجب أن تحتوي الرقعة البرمجية على اختبارات انحدار، وقتما أمكن.
 * The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.
 * If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
 * Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.