Esta página foi traduzida automaticamente e pode conter erros
Política de comunicação e divulgação de vulnerabilidades
A equipa de segurança do DHIS2 participa na divulgação responsável e agradece a colaboração com a comunidade em geral em questões de segurança. Nesta página, descrevemos como contactar a equipa de segurança do DHIS2, o que pode esperar quando nos contactar e o que esperamos de si
Ir para uma secção desta página
Comunicar problemas
Pode comunicar problemas enviando uma mensagem de correio eletrónico para a equipa de segurança do DHIS2 security@dhis2.org. O nosso objetivo é responder no prazo de 10 dias úteis.
Pedimos-lhe que:
- Inclua apenas um breve resumo da questão e forneça-nos os seus dados de contacto para que possamos discutir a questão num canal seguro.
Os relatórios de vulnerabilidade devem incluir instruções escritas claras para reproduzir a vulnerabilidade. Cada relatório deve conter os seguintes elementos:
- Versão DHIS2
- Número de construção do DHIS2
- Descrição do problema
- Porque é que considera que se trata de uma vulnerabilidade de segurança?
- Passos para reproduzir
- Pretende ser acreditado (SIM/NÃO)
NÃO comunique o problema nas listas de correio públicas e NÃO comunique o problema através do sistema Jira, uma vez que estes métodos estão disponíveis para membros fora da equipa de segurança.
A investigação e a resolução do problema comunicado podem demorar algum tempo, tal como a implementação de versões actualizadas pelos nossos utilizadores. Por conseguinte, pedimos-lhe que se abstenha de partilhar vulnerabilidades publicamente até considerarmos que é seguro fazê-lo.
Atualmente não oferecemos recompensas monetárias por relatórios de bugs, mas temos todo o gosto em dar crédito aos relatores no nosso hall da fama e nos registos de alterações.
Âmbito de aplicação
São abrangidos os seguintes objectivos:
- As suas próprias instâncias privadas do software DHIS2
- O nosso software de fonte aberta
- dhis2.org
- aplicações.dhis2.org
- A atual Android App e o Android SDK
Fora do âmbito
- Quaisquer instâncias públicas ou privadas alojadas do servidor DHIS2 não listadas acima.
- Versões não suportadas do DHIS2
- Apenas suportamos e fornecemos correcções de segurança para as últimas 3 versões do DHIS2
- Engenharia social, phishing ou ataques físicos contra os nossos funcionários, utilizadores ou infra-estruturas
- Aplicações de terceiros construídas na plataforma DHIS2
- Por “terceiros” entendemos as aplicações que não foram publicadas ou desenvolvidas pela Universidade de Oslo
- Vulnerabilidades nas dependências a montante
- Falta de limitação da taxa
- Os relatórios sobre ataques DoS volumétricos estão fora do âmbito.
- Vulnerabilidades devido a versões desactualizadas do browser
- As vulnerabilidades que afectam versões modernas e desactualizadas de browsers estão fora do âmbito, tal como as causadas por extensões de browsers.
- Ataques MITM
- Não podemos proteger os nossos utilizadores da utilização de redes vulneráveis, pelo que os ataques man-in-the-middle estão fora do âmbito.
- Falta de boas práticas na configuração SSL/TLS sem prova de conceito/demonstração de uma vulnerabilidade.
- Problemas de falsificação de conteúdos e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
- Falta de sinalizadores HttpOnly ou Secure em cookies não relacionados com autenticação ou sessões
- Configuração incorrecta de bases de dados ou proxies inversos
- Política de correio eletrónico DMARC, SPF e DKIM
- Acreditamos que as nossas definições DMARC, SPF e DKIM equilibram adequadamente a segurança e as preocupações com a capacidade de entrega do correio eletrónico.
Política de divulgação
A equipa de segurança está empenhada em divulgar publicamente os problemas de segurança de forma responsável. Isto significa que um problema pode ser embargado durante algum tempo enquanto é criada uma correção ou uma solução alternativa.
O DHIS2 pede aos investigadores de segurança participantes que
- Dê ao DHIS2 um prazo razoável para resolver o problema comunicado antes de o divulgar a terceiros
- Não divulgue publicamente vulnerabilidades ou detalhes relacionados sem autorização explícita por escrito do DHIS2
- Não inclua dados sensíveis ou de identificação em quaisquer divulgações públicas