Esta página ha sido traducida de manera automática y puede contener errores
Centro de confianza
Mejoramos continuamente la arquitectura, las funciones y los procesos de nuestro software para minimizar el riesgo para los usuarios y sus datos. En esta página puede informarse sobre nuestros procesos y principios de seguridad.
Enlaces directos al contenido de la página
Principios del equipo de seguridad de DHIS2
El equipo de seguridad de DHIS2 defiende los siguientes principios:
- Procesos de seguridad sólidos, formales y predecibles
- Máxima transparencia
- Divulgación plenamente responsable
- Sólida cultura de gestión de la seguridad
Si tiene preguntas sobre cuestiones de seguridad de DHIS2, puede ponerse en contacto con el equipo de seguridad en: security@dhis2.org
Proceso de seguridad
El código fuente de DHIS2 se analiza continuamente en busca de vulnerabilidades de seguridad de la lista OWASP Top 10 gracias a diversas herramientas automatizadas, para garantizar que los fallos más comunes se solucionan en las primeras fases del proceso de desarrollo.
Tanto el SDK para Android de DHIS2 como la aplicación para Android siguen las recomendaciones OWASP para garantizar la privacidad y las funciones de seguridad en el desarrollo móvil (consulte nuestra puntuación OWASP). Algunas implicaciones prácticas para los implementadores y usuarios de DHIS2 Android son el bloqueo de las capturas de pantalla y del uso compartido de la pantalla al utilizar la aplicación, y la prevención de la instalación de la aplicación DHIS2 Android en dispositivos rooteados.
Versiones compatibles
DHIS2 es compatible oficialmente con las tres últimas versiones principales publicadas (véase la página de descargas). Cuando se descubra y corrija una vulnerabilidad en el software de DHIS2, se publicará un parche de seguridad para cada versión principal compatible. No se garantiza que las versiones que han alcanzado el fin de soporte reciban parches de seguridad, por lo que es fundamental que las implementaciones antiguas de DHIS2 se actualicen a una versión principal reciente y soportada lo antes posible.
Notificación y divulgación de vulnerabilidades
DHIS2 cuenta con un equipo de seguridad dedicado a mantener la integridad del software DHIS2. Si descubre lo que cree que es una vulnerabilidad en DHIS2, queremos conocer su opinión. Visite nuestra página Política de notificación y divulgación de vulnerabilidades para obtener información sobre cómo ponerse en contacto con el equipo de seguridad de DHIS2, qué puede esperar cuando se ponga en contacto con nosotros y qué esperamos nosotros de usted.
Lea la Política de notificación y divulgación de vulnerabilidades de DHIS2
Vulnerabilidades conocidas (CVE)
El equipo de seguridad de DHIS2 participa en la divulgación responsable. Cuando se descubren vulnerabilidades en las versiones publicadas y compatibles de DHIS2, el equipo hace todo lo posible por evaluarlas, abordarlas y publicar las correcciones oportunamente. Debido a la naturaleza sensible de muchas implantaciones de DHIS2 en todo el mundo, la información relativa a estas vulnerabilidades puede estar embargada durante algún tiempo. En última instancia, el equipo de DHIS2 se esforzará por revelar cualquier vulnerabilidad conocida en versiones anteriores del software una vez que se hayan corregido y haya transcurrido el tiempo suficiente para permitir que las implementaciones de DHIS2 en producción actualicen su software.
Consulte la lista de vulnerabilidades conocidas de DHIS2:
- Software central de DHIS2
- Aplicación DHIS2 para Android
Salón de la Fama de la Seguridad
El equipo de seguridad de DHIS2 agradece enormemente la ayuda de los investigadores de seguridad independientes en la identificación y divulgación responsable de vulnerabilidades de seguridad. Reconocemos sus contribuciones en el
Salón de la Fama de la Seguridad de DHIS2.
Obtenga las últimas actualizaciones de seguridad en la Comunidad de Prácticas
Puede mantenerse informado sobre las últimas actualizaciones de seguridad del equipo de seguridad de DHIS2 en la Comunidad de Práctica (CoP) de DHIS2 suscribiéndose a las publicaciones etiquetadas con «dhis2-security». También puede suscribirse al boletín DHIS2, que incluye un resumen de las últimas actualizaciones de seguridad.