الإبلاغ عن المشاكل الأمنية

From mediawiki.org
This page is a translated version of the page Reporting security bugs and the translation is 100% complete.

هذه هي الخطوات المتبعة للإبلاغ عن المشاكل الأمنية في البرمجيات والخدمات التي تتولى مؤسسة ويكيميديا صيانتها وتشغيلها. يشمل ذلك برمجيات ميدياويكي ومشاريع ويكيميديا مثل ويكيبيديا.

نحن نساند أعمال الإفصاح الذي يتحمل المسؤولية ونأمل من أي شخص يجد مسألة أمنية محتملة في منظومتنا أن يتصرف بحذر وحُلُم.

ما الذي يعتبر مسألة أمنية

إليك موجز عام، لا قائمة كاملة بنطاق تغطية هذه الخطوات.

  • المسائل التي تؤثر على توفر واحد من الخدمات العديدة التي تعد جزءً من منظومة ويكيميديا، إلا أن هذا الأمر ينطبق على وجه التحديد حينما يكون ذلك نتيجة لمجموعة تصرفات عدوانية أو حملة عدوانية.
  • حينما تكون نزاهة البيانات التي تستضيفها مؤسسة ويكيميديا أو الجهات الشقيقة معرضة لخطر التحريف أو العبث أو التعديل بأي طريق آخر بطريقة غير مصرح بها.
  • حينما تتعرض خصوصية وسرية البيانات التي تملكها مؤسسة ويكيميديا أو الجهات الشقيقة للاختراق، بطريقة تجعل من تلك المعلومات المقصود حصر الوصول إليها أو أن تكون خاصة تتعرض للتسريب أو الكشف عنها أو سرقتها أو التسرب بطريقة غير مصرح بها.

الإبلاغ عن مسألة أمنية

للإبلاغ عن مسألة، أرسل رسالة بريد إلكتروني إلى security@wikimedia.org أو استخدام نموذج أبلغ عن مسألة أمنية «Report Security Issue» الموجود على فبريكاتور «Phabricator».

لن تكون هذه البلاغات معروضة على العامة في وقت الإبلاغ عنها. طالع ما يلي كي تتعرف على الخطوات التالية حال تصويب المسائل.

ما هي العناصر المطلوب ذكرها في أي بلاغ عن مسائل أمنية

إن أبلغت عن الثغرة الأمنية عن طريق إرسال رسالة بريد إلكتروني إلى security@wikimedia.org، أبلغنا إن كان لديك حساب على فبرياكتور ويكيميديا منذ أننا سوف نضيفك إلى بلاغ العطل الفني الذي أنشأناه، حتى يمكنك متابعة الحالة.

يمكن إنشاء حسابات فبريكاتور مستخدمًا حساب ويكي يستخدم لتسجيل الدخول الموحد «SUL».

ماذا يحدث حينما يبلغ عن مسألة أمنية

سوف نفعل ما يلي:

  • نقرر ما إذا كنا سوف نعتبرها مسألة أمنية أم لا
  • نحاول تكرار المسألة وتعيين مستوى أولوية للعطل الفني استنادًا إلى أثرها.
  • سوف تضاف رقعة برمجية إلى فبريكاتور وسيتولى شخص آخر مراجعتها.
    • يجب أن تحتوي الرقعة البرمجية على اختبارات انحدار، وقتما أمكن.
  • سوف تنشر الرقعة البرمجية على عنقود ويكيميديا، وسوف تمنح إمكانية الوصول للرقعة البرمجية إلى بضعة شركاء وموزعين محل ثقة.[citation needed]
  • لو كان الأمر منطبقًا، سوف تضاف الرقعة البرمجية إلى الإصدار التالي من برمجيات ميدياويكي. لو كان أثر الثغرة الأمنية خطرًا، أو لدينا ما يشير إلى أنه يجري استغلالها وقت الإبلاغ عنها، سوف نصدر إصدار أمني خاص من برمجيات ميدياويكي كي نضمن أو الغير يتمتعون بالحماية.
  • سوف نجعل بلاغ فبريكاتور عموميًا حينما تنشر طريقة التصويب ونذكر اسمك في إعلان الإصدار، إلا حينما تشير صراحة إلى أن بعض المعلومات المحددة يتعين ألا تنشر. إن أبلغت عن المسألة عن طريق إرسال رسالة بريد إلكتروني إلى security@wikimedia.org يجوز نشر رسالة البريد الإلكتروني ذاتها على العامة. يجوز أن يشتمل ذلك على عنوان بريدك الإلكتروني وتوقعيك إلا حينما تطلب خلاف ذلك. سوف يضمن وسم PermanentlyPrivate على فبريكاتور أن البلاغات تظل سرية وخصوصية إلى الأبد.

ذِكر مقدمو البلاغات

  • سوف يذكر مقدمو البلاغات في رسالة الالتزام التي تتولى تصويب المسألة
  • سوف يذكر مقدم البلاغ في رسالة الإعلان الرسمية عن طريق البريد الإلكتروني التي سوف ترسل إلى قوائم MediaWiki-announce البريدية
  • سوف يذكر فريق ويكيميديا الأمني/شكر وتقدير فيما يخص الثغرات الأمنية الموجودة في لب ميدياويكي البرمجي أو المكتبات أو السمات أو الامتدادات المحزومة.
  • في الوقت الراهن، لا توجد ميزانيات للبلاغات عن المسائل الأمنية. يعني هذا أن مؤسسة ويكيميديا لا تدفع مكافآت نظير اكتشاف العيوب الأمنية الموجودة على هذه المشاريع، سواء كان ذلك ماليًا أو عينيًا.

متابعة خطوات تصويب البلاغ

إن أمكن أثناء خطوات التصويب، يجب أن تحتوي البلاغات الأمنية على تعليقات تشتمل على:

  • تعليمات خطوة بخطوة من أجل تكرار مسائل تالية
  • وصلات شبكية إلى حالات الالتزام التي نتج عنها المشكلة الفنية
  • وصلات شبكية إلى مجموعات تغيير غيريت «Gerrit changesets» التي تصوّب المشكلة الفنية

إمكانية وصول مقدم البلاغ إلى بلاغاته التي حررها بنفسه أمر معتاد، إلا أن الحصول على إمكانية وصول إلى مسائل أمنية متمتعة بالحماية يتبع خطوات مختلفة

المساهمة برقع برمجية

إن كنت تود تقديم رقعة برمجية تتناول مشكلة أمنية، يرجى إضافتها في صفة مرفق إلى مهمة فبريكاتور. يمكنك إما سحب وإفلات الرقعة البرمجية في مساحة التعليقات أو إضافة مقارنة للرقعة البرمجية في صفة تعليق.

يرجى الامتناع عن إرسال الرقع البرمجية إلى غيريت. كافة تغييرات غيريت (يشمل ذلك تلك الموسومة بوسم «مسودات - drafts») متاحة للعامة.

محتوى يتعلق بالأمن

المشروع استخدام فريق الأمن التابع لويكيميديا
mediawiki.org محتوى عمومي لأغراض السياسات وإجراءات التشغيل القياسية وخلافه، Official Security team page .
wikitech.wikimedia.org منشورات إجرائية أو تقدم تعليمات ليس الغرض منها التدريب.
meta.wikimedia.org السياسات ومحتوى آخر لأغراض ترجمته.
office.wikimedia.org محتوى حساس أو خصوصي. يتعين التوقيع على اتفاقية عدم إفصاح ومستوى وصول ملائم.
foundation.wikimedia.org المكان الرسمي للسياسات.