セキュリティ バグの報告
 |
|---|
| SOPs |
| Guides |
| Policy |
| Services |
| Training |
| Other |
これは、ウィキメディア財団が保守または運営するソフトウェアやサービスにおけるセキュリティ問題を報告するための手順です。 これには MediaWiki や、ウィキペディアなどの ウィキメディアのプロジェクト群 が含まれます。
私たちは責任ある情報開示を支持しており、私たちのエコシステムにおいて潜在的なセキュリティ問題を発見した方が、慎重かつ寛容に行動してくださることを願っています。
セキュリティ問題とは
これはこのプロセスの範囲を完全に網羅したものではなく、一般的な概要です。
- ウィキメディアのエコシステムに含まれる 1 つ以上のサービスの可用性に影響を与える問題、特にそれが敵対的な行動やキャンペーンによるものである場合。
- ウィキメディア財団または関連団体がホストするデータの完全性が、破損・改ざん・その他の不正な方法で変更される危険にさらされている場合。
- ウィキメディア財団またはその関連団体が保有するデータの機密性が侵害され、本来制限されるべきまたは非公開であるべき情報が、不正な方法で漏洩・開示・盗難・流出される場合。
セキュリティの問題点の報告
問題を報告するには、メールで security@wikimedia.org 宛に送信するか、Phabricator 上のセキュリティ問題点の報告フォームを使用してください。
これらの報告は、報告時点では公開されません。問題が解決された後の手続きについては以下を参照してください。
セキュリティの問題点報告に含めるべき事項
- 問題点を再現するためのステップ バイ ステップの手順
- 可能であれば、問題点を示す概念実証コードを添付することが望ましい
- 脆弱性をウィキメディアのプロジェクト (ウィキペディアやウィクショナリーなど) で再現できる場合は、サイト設定が異なるため、どのプロジェクトかを示してください
- 該当する場合は、問題が発生した際にログインしているかログアウトしているかを示してください
- XSS や特定のブラウザーやプラグインが必要な脆弱性の場合は、使用しているブラウザーとそのバージョンを示してください。使用しているソフトウェアの具体的なバージョンも役立ちます。
- もし分かれば、OWASP の脆弱性カテゴリ (2017年版 OWASP Top 10を使用) や、CWE ID (CWE By Research Concepts を使用) を示してください。
- 適用されたらCVE(the NIST CVE データベースを採用)。
- その他、問題の調査と再現に必須の情報。
メールを使ってsecurity@wikimedia.orgあてに脆弱性を報告する場合、ご自身がWikimedia Phabricator のアカウントを持っておられるか書き添えてもらうと、当方が向こうでバグをたて報告者には進捗状況を追跡してもらえるようにします。
Phabricator 登録アカウントは既存のSUL ウィキ・アカウントを使って作成してください。
セキュリティ問題を報告したらどう処理されるか
以下を実行する予定です。
- 果たしてセキュリティ問題かどうか決定します。
- 問題の再現を試み、その影響に基づいてバグに優先順位を付けます。
- Phabricator にパッチを追加、他の人がレビュー(審査)します。
- そのパッチには可能な限り、回帰テストを盛り込みます。
- パッチはウィキメディアのクラスタに展開、そのパッチへのアクセスは信頼する複数のパートナーやディストリビュータに提供します。[citation needed]
- 適合する場合、当該のパッチはMediaWikiの次のリリースに含まれます。 脆弱性の影響が特に深刻な場合、またはそれが積極的に利用されていると示唆される場合、MediaWikiの特別セキュリティ・リリースをして第三者の保護状態を保証します。
- 報告者が特定の情報は公開すべきでないと明示しない限り、修正の公開時に Phabricator チケットを開示し、リリース情報に報告者名を含めて認定します。 問題をメールで security@wikimedia.org あてに報告した場合、送信者アドレス自体を開示する場合があります。 これにはご本人から別の方法を支持されない限り報告者のメールアドレスと署名を含める場合があります。 Phabricator タグの PermanentlyPrivate の効力により報告は永久に機密扱いします。
- 元の報告書に含まれていなかった場合、CVE 記録の開示が必須かどうか決定します。
報告者をクレジット表示する
- 報告者が問題解決に貢献したとコミット・メッセージ内でクレジットします。
- 公式アナウンスメール内で報告者にクレジットしてMediaWiki-announce 用メーリングリストに送信します。
追跡レポートの修復
可能な場合、修復のプロセスではセキュリティのバグにコメントを添え、その内容は以下を含めるものとします。
- 派生する問題点を再現する手順をステップごとに説明。
- バグを紹介したコメントのリンク類。
- バグを修正した Gerrit changesets へのリンク類。
報告者は標準で自身が作成したレポートにアクセスできるものの、通常、セキュリティ保護された問題へのアクセスは、別のプロセスが必要です。
パッチの寄稿
セキュリティ・バグのパッチを提出しようとする場合は、添付ファイルとしてPhabricatorタスクに追加してください。パッチをコメントエリアにドラッグ&ドロップするか、パッチの差分をコメントに含めてください。
パッチ類は Gerrit に提出してはいけません。(たとえ下書き"drafts"でも)変更点は公開されるからです。
- 手順は wikitech のセキュリティ・パッチの作成節を参照し、展開方法はセキュリティ・パッチ節をご一読願います。
その他のセキュリティ関連のコンテンツ
| プロジェクト | 製品安全性整合性担当が採用 |
|---|---|
| mediawiki.org | 方針、SOP(標準作業手順書)、他に関する全般的な内容 PSI チーム ページ。 |
| wikitech.wikimedia.org | 実務用の手続き書類または教材 (研修用ではない)。 |
| meta.wikimedia.org | 翻訳に関する方針およびその他のコンテンツ |
| office.wikimedia.org | 微妙もしくは個人情報に関わる内容。NDA の指定と敵切な開示方法が必要。 |
| foundation.wikimedia.org | 方針開示の標準的な場所。 |