このページまたは節は、Security とともに、統合することが提案されています。(議論)

これは、ウィキメディア財団が保守または運営するソフトウェアやサービスにおけるセキュリティ問題を報告するための手順です。 これには MediaWiki や、ウィキペディアなどの ウィキメディアのプロジェクト群 が含まれます。

私たちは責任ある情報開示を支持しており、私たちのエコシステムにおいて潜在的なセキュリティ問題を発見した方が、慎重かつ寛容に行動してくださることを願っています。

セキュリティ問題とは

これはこのプロセスの範囲を完全に網羅したものではなく、一般的な概要です。

• ウィキメディアのエコシステムに含まれる 1 つ以上のサービスの可用性に影響を与える問題、特にそれが敵対的な行動やキャンペーンによるものである場合。
• ウィキメディア財団または関連団体がホストするデータの完全性が、破損・改ざん・その他の不正な方法で変更される危険にさらされている場合。
• ウィキメディア財団またはその関連団体が保有するデータの機密性が侵害され、本来制限されるべきまたは非公開であるべき情報が、不正な方法で漏洩・開示・盗難・流出される場合。

セキュリティの問題点の報告

問題を報告するには、メールで security@wikimedia.org 宛に送信するか、Phabricator 上のセキュリティ問題点の報告フォームを使用してください。

これらの報告は、報告時点では公開されません。問題が解決された後の手続きについては以下を参照してください。

セキュリティの問題点報告に含めるべき事項

• 問題点を再現するためのステップ バイ ステップの手順
• 可能であれば、問題点を示す概念実証コードを添付することが望ましい
• 脆弱性をウィキメディアのプロジェクト (ウィキペディアやウィクショナリーなど) で再現できる場合は、サイト設定が異なるため、どのプロジェクトかを示してください
• 該当する場合は、問題が発生した際にログインしているかログアウトしているかを示してください
• XSS や特定のブラウザーやプラグインが必要な脆弱性の場合は、使用しているブラウザーとそのバージョンを示してください。使用しているソフトウェアの具体的なバージョンも役立ちます。
• もし分かれば、OWASP の脆弱性カテゴリ (2017年版 OWASP Top 10を使用) や、CWE ID (CWE By Research Concepts を使用) を示してください。
• CVE if assigned (using the NIST CVE database).
• Any other information needed to investigate and reproduce the issue.

• Determine whether we consider it to be a security issue.
• Attempt to reproduce the issue, and assign a priority to the bug based on its impact.
• A patch will be added in Phabricator, and another person will review it.
  • The patch should contain regression tests, whenever possible.
• The patch will be deployed on the Wikimedia cluster, and access to the patch will be given to a few trusted partners and distributors.^{[citation needed]}
• If applicable, the patch will be included in the next release of MediaWiki. If the impact of the vulnerability is especially bad, or we have indication that it is being actively exploited, we will make a special security release of MediaWiki to ensure third parties are protected.
• Unless you explicitly indicate that certain information must not be published, we will make the Phabricator ticket public when the fix is released, and credit you in the release announcement. If you report the issue via email to security@wikimedia.org the email itself may be publicly released. This may include your email address and signature unless you request otherwise. The Phabricator tag PermanentlyPrivate will ensure reports are kept confidential in perpetuity.
• Determine if a CVE record needs to be published if it was not included in the original report.

• Credit will be given to the reporter in the commit message fixing the issue.
• Credit will be given to the reporter in the official announcement email going to the MediaWiki-announce mailing lists.

• Step-by-step instructions to reproduce further issues.
• Links to the commits that introduced the bug.
• Links to the Gerrit changesets that fix the bug.

• See Creating a Security Patch section on wikitech for steps to create these patches, and Security patches section for how these patches are deployed.