Reporting security bugs/it

Questo è il processo per segnalare problemi di sicurezza nel software e nei servizi manutenuti o messi in opera dalla Fondazione Wikimedia. Questo include MediaWiki e progetti Wikimedia come Wikipedia.

Supportiamo la responsible disclosure e speriamo che chiunque trovi un potenziale problema di sicurezza nel nostro ecosistema agisca con discrezione e tolleranza.

Cosa è considerato un problema di sicurezza
Questo è uno schema generale e non una lista esaustiva dello scopo di questo processo.
 * Problemi che influiscono sulla disponibilità di uno o più servizi che fanno parte dell'ecosistema Wikimedia, ma in particolare quando è il risultato di specifiche azioni o campagne ostili.


 * Quando l'integrità dei dati ospitati dalla Wikimedia Foundation o da entità affiliate rischia di essere danneggiata, manomessa o altrimenti modificata in modo non autorizzato.


 * Quando la riservatezza dei dati di proprietà della Wikimedia Foundation o delle sue entità affiliate viene compromessa, le informazioni destinate a essere confidenziali o riservate vengono divulgate, rivelate, rubate o trafugate in modo non autorizzato.

Segnalare un problema di sicurezza
Per segnalare un errore, scrivi a [mailto:security@wikimedia.org security&#64;wikimedia.org] oppure utilizza il form Report Security Issue su Phabricator.

Tali report non saranno visibili pubblicamente al momento della segnalazione. Vedi sotto per l'ulteriore processo una volta che gli errori sono stati risolti.

Cosa includere nella segnalazione di un problema di sicurezza
If you report the vulnerability by email to [mailto:security@wikimedia.org security&#64;wikimedia.org], let us know if you have a Wikimedia Phabricator account as we will add you to the bug we create, so you can track the status.
 * Istruzioni passo-passo per riprodurre l'errore.
 * Se possibile, una dimostrazione di fattibilità attraverso codice o documento dimostrativo del problema è una buona pratica.
 * Se la vulnerabilità può essere riprodotta su un progetto Wikimedia (come Wikipedia o Wikizionario), indica quale configurazione del sito varia
 * Se applicabile, indica se eri connesso o disconnesso quando l'errore si è verificato
 * Per XSS o vulnerabilità che richiedono un browser o plug-in specifico, indica quale browser e versione stai utilizzando. È utile indicare la versione specifica di qualsiasi software utilizzato.
 * Categoria di vulnerabilità OWASP (utilizzare OWASP Top 10 per 2017), oppure id CWE (utilizzare CWE By Research Concepts)
 * CVE if assigned (using the NIST CVE database)
 * Ogni altra informazione necessaria per investigare e riprodurre l'errore

È possibile creare un account su Phabricator utilizzando l'account wiki SUL esistente.

Cosa accade quando viene segnalato un problema di sicurezza
We will:
 * Determineremo se lo consideriamo un problema di sicurezza
 * Cercheremo di riprodurre il problema e assegneremo una priorità al difetto in funzione del suo impatto.
 * Una patch verrà aggiunta su Phabricator, e una persona diversa la revisionerà.
 * La patch dovrebbe includere un test di regressione, quando possibile.
 * La correzione verrà distribuita sul cluster Wikimedia, e l'accesso alla correzione sarà data ad alcuni partners e distributori affidabili.
 * Se applicabile, la patch sarà inclusa nel successivo rilascio di MediaWiki. Se l'effetto della vulnerabilità è particolarmente grave, oppure abbiamo evidenza che venga sfruttata attivamente, faremo uno speciale rilascio di sicurezza di MediaWiki per assicurare che le terze parti siano protette.
 * A meno che non indichi esplicitamente che certe informazioni non devono essere pubblicare, renderemo pubblico il ticket su Phabricator quando la soluzione è rilasciata, e avrai credito nell'annuncio di rilascio. If you report the issue via email to security@undefinedwikimedia.org the email itself may be publicly released. Questo può includere il tuo indirizzo email e la tua firma a meno che tu richieda diversamente. Il tag Phabricator PermanentlyPrivate assicurerà che le segnalazioni rimarranno confidenziali a tempo indefinito.

Crediting reporters

 * Credit will be given to the reporter in the commit message fixing the issue
 * Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists
 * Credit will be given on Wikimedia Security Team/Thanks for vulnerabilities in MediaWiki core or a bundled library, skin, or extension.
 * Currently, there is no budget for security reports. This means no bounties are paid by Wikimedia Foundation for discovering security bugs on these projects, either in money or in merchandise.

Tracking report remediation
When possible during the remediation process, the security bugs should have comments that include: Reporter access to their own authored reports is standard, but to gain access to security protected issues generally there is a separate process
 * Step-by-step instructions to reproduce further issues
 * Links to the commits that introduced the bug
 * Links to the Gerrit changesets that fixes the bug

Contributing patches
If you would like to provide a patch for a security bug, please add it as an attachment to the Phabricator task. You can either drag-and-drop the patch into the comment area, or include a diff of the patch as a comment.

Please do not submit patches to Gerrit. All Gerrit changes (including "drafts") are publicly accessible.
 * See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.