Cette page a été traduite automatiquement et pourrait contenir des erreurs
Centre fiduciaire
Nous améliorons en permanence l’architecture, les fonctionnalités et les processus de nos logiciels afin de minimiser les risques pour les utilisateurs et leurs données. Sur cette page, vous pouvez prendre connaissance de nos processus et principes de sécurité.
Aller à une section sur cette page
Principes de l'équipe de sécurité du DHIS2
L’équipe de sécurité du DHIS2 défend les principes suivants :
- Des processus de sécurité robustes, formels et prévisibles
- Transparence maximale
- Une divulgation pleinement responsable
- Une forte culture de gestion de la sécurité
Si vous avez des questions concernant la sécurité du DHIS2, vous pouvez contacter l’équipe chargée de la sécurité à l’adresse suivante : security@dhis2.org
Processus de sécurité
Le code source du DHIS2 est continuellement analysé pour détecter les vulnérabilités de sécurité figurant sur la liste des 10 principales vulnérabilités de l ‘OWASP grâce à divers outils automatisés, afin de s’assurer que les bogues les plus courants sont corrigés dès le début du processus de développement.
Le SDK Android du DHIS2 et l’application Android suivent les recommandations de l’OWASP pour garantir des fonctions de confidentialité et de sécurité dans le développement mobile (voir notre score OWASP). Certaines implications pratiques pour les responsables de la mise en œuvre et les utilisateurs de DHIS2 Android sont le blocage des captures et du partage d’écran lors de l’utilisation de l’application, et la prévention de l’installation de l’application Android DHIS2 dans les appareils rootés.
Versions prises en charge
DHIS2 supporte officiellement les trois dernières versions majeures – voir la page Téléchargements. Lorsqu’une vulnérabilité du logiciel DHIS2 est découverte et corrigée, un correctif de sécurité est publié pour chaque version majeure prise en charge. Les versions en fin de support ne sont pas assurées de recevoir des correctifs de sécurité. Il est donc essentiel que les anciennes mises-en-œvre de DHIS2 passent dès que possible à une version majeure récente et prise en charge.
Signalement et divulgation des vulnérabilités
DHIS2 dispose d’une équipe de sécurité dédiée qui veille à maintenir l’intégrité du logiciel DHIS2. Si vous découvrez ce que vous pensez être une vulnérabilité dans DHIS2, nous aimerions que vous nous en fassiez part. Veuillez consulter notre page Politique de signalement et de divulgation des vulnérabilités pour savoir comment contacter l’équipe de sécurité du DHIS2, ce à quoi vous pouvez vous attendre lorsque vous nous contactez et ce que nous attendons de vous.
Lire la politique de signalement et de divulgation des vulnérabilités du DHIS2
Vulnérabilités connues (CVE)
L’équipe de sécurité du DHIS2 participe à la divulgation responsable. Lorsque des vulnérabilités sont découvertes dans les versions publiées et prises en charge de DHIS2, l’équipe s’efforce d’évaluer, de traiter et de publier des correctifs en temps utile. En raison de la nature sensible de nombreuses mises-en-œvre de DHIS2 dans le monde, les informations relatives à ces vulnérabilités peuvent faire l’objet d’un embargo pendant une certaine période. Enfin, l’équipe DHIS2 s’efforce de divulguer toutes les vulnérabilités connues dans les anciennes versions du logiciel une fois qu’elles ont été corrigées et qu’un délai suffisant s’est écoulé pour permettre aux mises-en-œvre de DHIS2 de mettre à jour leur logiciel.
Voir la liste des vulnérabilités connues de DHIS2 :
- Logiciel de base DHIS2
- DHIS2 Android app
Temple de la renommée de la sécurité
L’équipe de sécurité du DHIS2 apprécie grandement l’aide apportée par les chercheurs indépendants en matière de sécurité pour identifier et divulguer de manière responsable les failles de sécurité. Nous reconnaissons leurs contributions dans le
Temple de la renommée de la sécurité du DHIS2.
Obtenir les dernières mises à jour de sécurité sur la communauté de pratique
Vous pouvez rester informé des dernières mises à jour de sécurité de l’équipe de sécurité de DHIS2 sur la Communauté de Pratique DHIS2 (CoP) en vous abonnant aux posts étiquetés avec « dhis2-security ». Vous pouvez également vous abonner au bulletin d’information DHIS2, qui comprend un résumé des récentes mises à jour de sécurité.