Ir para a página principal

Esta página foi traduzida automaticamente e pode conter erros

Política de comunicação e divulgação de vulnerabilidades

A equipa de segurança do DHIS2 participa na divulgação responsável e agradece a colaboração com a comunidade em geral em questões de segurança. Nesta página, descrevemos como contactar a equipa de segurança do DHIS2, o que pode esperar quando nos contactar e o que esperamos de si

Ir para uma secção desta página

    Comunicar problemas

    Pode comunicar problemas enviando uma mensagem de correio eletrónico para a equipa de segurança do DHIS2 security@dhis2.org. O nosso objetivo é responder no prazo de 10 dias úteis.

    Pedimos-lhe que:

    • Inclua apenas um breve resumo da questão e forneça-nos os seus dados de contacto para que possamos discutir a questão num canal seguro.

    Os relatórios de vulnerabilidade devem incluir instruções escritas claras para reproduzir a vulnerabilidade. Cada relatório deve conter os seguintes elementos:

    • Versão DHIS2
    • Número de construção do DHIS2
    • Descrição do problema
    • Porque é que considera que se trata de uma vulnerabilidade de segurança?
    • Passos para reproduzir
    • Pretende ser acreditado (SIM/NÃO)

    NÃO comunique o problema nas listas de correio públicas e NÃO comunique o problema através do sistema Jira, uma vez que estes métodos estão disponíveis para membros fora da equipa de segurança.

    A investigação e a resolução do problema comunicado podem demorar algum tempo, tal como a implementação de versões actualizadas pelos nossos utilizadores. Por conseguinte, pedimos-lhe que se abstenha de partilhar vulnerabilidades publicamente até considerarmos que é seguro fazê-lo.

    Atualmente não oferecemos recompensas monetárias por relatórios de bugs, mas temos todo o gosto em dar crédito aos relatores no nosso hall da fama e nos registos de alterações.

    Âmbito de aplicação

    São abrangidos os seguintes objectivos:

    Fora do âmbito

    • Quaisquer instâncias públicas ou privadas alojadas do servidor DHIS2 não listadas acima.
    • Versões não suportadas do DHIS2
      • Apenas suportamos e fornecemos correcções de segurança para as últimas 3 versões do DHIS2
    • Engenharia social, phishing ou ataques físicos contra os nossos funcionários, utilizadores ou infra-estruturas
    • Aplicações de terceiros construídas na plataforma DHIS2
      • Por “terceiros” entendemos as aplicações que não foram publicadas ou desenvolvidas pela Universidade de Oslo
    • Vulnerabilidades nas dependências a montante
    • Falta de limitação da taxa
      • Os relatórios sobre ataques DoS volumétricos estão fora do âmbito.
    • Vulnerabilidades devido a versões desactualizadas do browser
      • As vulnerabilidades que afectam versões modernas e desactualizadas de browsers estão fora do âmbito, tal como as causadas por extensões de browsers.
    • Ataques MITM
      • Não podemos proteger os nossos utilizadores da utilização de redes vulneráveis, pelo que os ataques man-in-the-middle estão fora do âmbito.
    • Falta de boas práticas na configuração SSL/TLS sem prova de conceito/demonstração de uma vulnerabilidade.
    • Problemas de falsificação de conteúdos e injeção de texto sem mostrar um vetor de ataque/sem poder modificar HTML/CSS
    • Falta de sinalizadores HttpOnly ou Secure em cookies não relacionados com autenticação ou sessões
    • Configuração incorrecta de bases de dados ou proxies inversos
    • Política de correio eletrónico DMARC, SPF e DKIM
      • Acreditamos que as nossas definições DMARC, SPF e DKIM equilibram adequadamente a segurança e as preocupações com a capacidade de entrega do correio eletrónico.

    Política de divulgação

    A equipa de segurança está empenhada em divulgar publicamente os problemas de segurança de forma responsável. Isto significa que um problema pode ser embargado durante algum tempo enquanto é criada uma correção ou uma solução alternativa.

    O DHIS2 pede aos investigadores de segurança participantes que

    • Dê ao DHIS2 um prazo razoável para resolver o problema comunicado antes de o divulgar a terceiros
    • Não divulgue publicamente vulnerabilidades ou detalhes relacionados sem autorização explícita por escrito do DHIS2
    • Não inclua dados sensíveis ou de identificação em quaisquer divulgações públicas