Este e o processo para relatar problemas de seguranca em software e servicos mantidos ou operados pela Wikimedia Foundation. Isso inclui o MediaWiki e Wikimedia projects como a Wikipedia.

Apoiamos divulgacao responsavel e esperamos que qualquer pessoa que encontre um possivel problema de seguranca em nosso ecossistema aja com discricao e tolerancia.

Este e um esboco geral e nao uma lista exaustiva do escopo deste processo.

• Problemas que afetam a disponibilidade de um dos mais servicos que fazem parte do ecossistema Wikimedia, mas em particular quando este e o resultado de um conjunto hostil de acoes ou campanhas.
• Quando a integridade dos dados hospedados pela Wikimedia Foundation ou entidades afiliadas estiver em risco de ser corrompida, adulterada ou modificada de outra forma de maneira nao autorizada.
• Quando a confidencialidade dos dados de propriedade da Wikimedia Foundation ou de suas entidades afiliadas e comprometida, de modo que as informacoes destinadas a serem restritas ou privadas sejam vazadas, reveladas, roubadas ou exfiltradas de maneira nao autorizada.

Para relatar um problema, envie um e-mail para security@wikimedia.org ou use o Relatar Problema de Seguranca no formulario Fabricator .

Tais relatorios nao serao publicamente visiveis no momento da denuncia. Veja abaixo o processo adicional assim que os problemas forem resolvidos.

• Instrucoes passo a passo para reproduzir o problema
• Se possivel, o codigo prova de conceito demonstrando o problema e uma pratica recomendada
• Se a vulnerabilidade puder ser reproduzida em um projeto Wikimedia (como a Wikipedia ou o Wikcionario), indique quais configuracoes de site variam
• Se aplicavel, indique se voce esta conectado ou desconectado quando o problema ocorre
• Para XSS ou vulnerabilidades que exigem um navegador ou plug-in especifico, indique qual navegador e versao voce esta usando. A versao especifica de qualquer software usado sera util.
• OWASP categoria de vulnerabilidade (usando OWASP Top 10 para 2017 ), ou CWE id (usando CWE By Research Concepts )
• CVE se atribuido (usando o [banco de dados CVE do NIST https://nvd.nist.gov/vuln/search ])
• Qualquer outra informacao necessaria para investigar e reproduzir o problema

Se voce relatar a vulnerabilidade por e-mail para security@wikimedia.org , informe-nos se voce tem um Wikimedia Phabricator conta como vamos adiciona-lo ao bug que criamos, para que voce possa acompanhar o status.

As contas Phabricator podem ser criadas usando uma conta SUL Wiki existente.

Vamos:

• Determinar se consideramos um problema de seguranca
• Tente reproduzir o problema e atribua uma prioridade ao bug com base em seu impacto.
• Um patch sera adicionado no Phabricator, e outra pessoa ira analisa-lo.
  • O patch deve conter testes de regressao, sempre que possivel.
• O patch sera implantado no cluster da Wikimedia, e o acesso ao patch sera dado a alguns parceiros e distribuidores confiaveis. ^{[ citation needed ]}
• Se aplicavel, o patch sera incluido na proxima versao do MediaWiki. Se o impacto da vulnerabilidade for especialmente ruim, ou se tivermos indicacao de que ela esta sendo explorada ativamente, faremos uma versao de seguranca especial do MediaWiki para garantir que terceiros estejam protegidos.
• A menos que voce indique explicitamente que certas informacoes nao devem ser publicadas, tornaremos o ingresso do Phabricator publico quando a correcao for lancada e creditaremos voce no anuncio de lancamento. If you report the issue via email to security wikimedia.org the email itself may be publicly released. Isso pode incluir seu endereco de e-mail e assinatura, a menos que voce solicite o contrario. A tag Phabricator PermanentlyPrivate garantira que os relatorios sejam mantidos confidenciais em perpetuidade.

• O credito sera dado ao reporter na mensagem de confirmacao que corrige o problema
• O credito sera dado ao reporter no e-mail de anuncio oficial indo para o MediaWiki-announce listas de discussao
• O credito sera dado em Wikimedia Security Team/Thanks por vulnerabilidades no nucleo do MediaWiki ou em uma biblioteca, skin ou extensao empacotada.
• Atualmente, nao ha orcamento para relatorios de seguranca. Isso significa que "nenhuma recompensa e paga" pela Wikimedia Foundation por descobrir bugs de seguranca nesses projetos, seja em dinheiro ou em mercadorias.

Quando possivel durante o processo de correcao, os bugs de seguranca devem ter comentarios que incluam:

• Instrucoes passo a passo para reproduzir outros problemas
• Links para as confirmacoes que introduziram o bug
• Links para os conjuntos de alteracoes Gerrit que corrige o bug

O acesso do reporter a seus proprios relatorios criados e padrao, mas para obter acesso a problemas protegidos por seguranca, geralmente ha um processo separado

Se voce gostaria de fornecer um patch para um bug de seguranca, por favor, adicione-o como um anexo para o Phabricator tarefa. Voce pode arrastar e soltar o patch na area de comentarios ou incluir uma comparacao do patch como um comentario.

Por favor, nao envie patches para Gerrit . Todas as alteracoes do Gerrit (incluindo "rascunhos") sao acessiveis ao publico.

• Consulte Criando um patch de seguranca secao na wikitech para as etapas para criar esses patches, e Patches de seguranca para saber como esses patches sao implantados.