セキュリティバグ修正ポリシー
アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。
スコープ
以下に、アトラシアン製品のセキュリティバグを解決するための方法と時期についてご説明します。当社が実施する完全な開示または勧告プロセスについてご説明するものではありません。
セキュリティバグ修正のサービスレベル目標 (SLO)
アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。
早期解決期間
この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス バージョンの両方) にも適用されます。
- 重大度レベルがクリティカルである製品のバグは検証後 14 日以内に修正
- 重大度レベルが高である製品のバグは検証後 28 日以内に修正
- 重大度レベルが中である製品のバグは検証後 42 日以内に修正
- 重大度レベルが低である製品のバグは検証後 175 日以内に修正
延長解決期間
この期間はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンのサーバー、データ センター、デスクトップ、モバイル アプリケーションを含みます。
- 脅威レベルが重大、高、中である製品のバグは検証後 90 日以内に修正
- 脅威レベルが低である製品のバグは検証後 180 日以内に修正
重大な脆弱性
重大なセキュリティ脆弱性をアトラシアンが発見した、またはサードパーティから報告された場合、アトラシアンは次のことをすべて行います。
- できる限り早急に、影響を受ける製品の現行バージョンの新しい修正済みリリースを発行します。
- 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。
製品 | バックポートポリシー | 例 |
---|---|---|
Jira Software Server および Data Center Jira Core Server および Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Confluence Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Bitbucket Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
お使いの製品バージョンについて常に最新のバグ修正リリースを入手していただくことが重要です (これがベストプラクティスです)。たとえば、Jira Software 7.5.0 をお使いの場合、Jira Software 7.5.3 に積極的にアップグレードする必要があります。Jira Software 7.5.4 などの新しいセキュリティバグ修正版がリリースされた場合、この 2 つのバージョンの差分はわずか (セキュリティ修正のみ等) であるため、適用がより簡単になります。
重大な脆弱性解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud サービスは常にアトラシアンによって修正されるため、お客様からの他の操作は不要です。
Product | Example |
---|---|
Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
緊急度の低い脆弱性
重大度レベルが高、中、低のセキュリティ問題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期リリースにもバックポートされる可能性があります。
バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。
その他の情報
脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。
アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。