Close
Quer visualizar esta página no seu idioma?
Todos os idiomas
Escolha seu idioma

Política de correção de bugs de segurança

Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.

Escopo

Esta política descreve como e quando as vulnerabilidades de segurança são resolvidas nos produtos.

Objetivos de nível de serviço (SLO) de atualização de segurança

A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. As correções de segurança nos produtos seguem os cronogramas a seguir:

Objetivos de resolução acelerada

Os cronogramas se aplicam a todos os produtos baseados em nuvem, software e sistemas da Atlassian ou de terceiros que usam a infraestrutura da Atlassian. Eles também se aplicam ao Jira Align (tanto na versão de nuvem quanto na autogerenciada).

  • Vulnerabilidades de gravidade crítica devem ser corrigidas no produto no prazo de 10 dias após a verificação
  • Vulnerabilidades de gravidade alta devem ser corrigidas no produto no prazo de 28 dias após a verificação
  • Vulnerabilidades de gravidade média devem ser corrigidas no produto no prazo de 84 dias após a verificação
  • Vulnerabilidades de gravidade baixa devem ser corrigidas no produto no prazo de 175 dias após a verificação

Cronogramas de Resolução Estendida

Os cronogramas são válidos para todos os produtos autogerenciados da Atlassian. O produto autogerenciado é instalado pelo cliente nos sistemas que ele gerencia. Esse produto inclui aplicativos móveis e o Data Center da Atlassian.

  • Vulnerabilidades de gravidade crítica, alta e média devem ser corrigidas no produto no prazo de 90 dias após a verificação
  • Vulnerabilidades de gravidade baixa devem ser corrigidas no produto no prazo de 180 dias após a verificação

Vulnerabilidades críticas

Quando vulnerabilidades de segurança críticas forem descobertas pela Atlassian ou relatadas por terceiros, a Atlassian vai:

  • Para produtos na nuvem, a gente vai lançar a nova versão corrigida o mais rápido possível
  • Para produtos autogerenciados, a gente vai:
    • lançar uma versão com a atualização de segurança para as funções afetadas do produto
    • lançar uma nova versão para as funções afetadas do produto no cronograma de lançamento
    • lançar uma versão com a atualização de segurança para todas as versões LTS suportadas do produto afetado, conforme a Política de término do suporte da Atlassian.

Produto
Política de back port
Exemplo

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (antes chamado Jira Service Desk)

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Jira 8.6.x porque o 8.6.0 foi lançado em 17 de dezembro de 2019
  • Jira 8.5.x porque o 8.5.0 foi lançado em 21 de outubro de 2019
  • Jira 8.4.x porque o 8.4.0 foi lançado em 9 de setembro de 2019
  • Jira 8.3.x porque o 8.3.0 foi lançado em 22 de julho de 2019
  • Jira 7.13.x porque o 7.13 é uma versão de Suporte de longo prazo e o 7.13.0 foi lançado em 28 de novembro de 2018

Confluence Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Confluence 7.2.x porque o 7.2.0 foi lançado em 12 de dezembro de 2019
  • Confluence 7.1.x porque o 7.1.0 foi lançado em 4 de novembro de 2019
  • Confluence 7.0.x porque o 7.0.0 foi lançado em 10 de setembro de 2019
  • Confluence 6.13.x, porque o 6.13 é uma versão de Suporte de longo prazo e o 6.13.0 foi lançado em 4 de dezembro de 2018

Bitbucket Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Bitbucket 6.9.x porque o 6.9.0 foi lançado em 10 de dezembro de 2019
  • Bitbucket 6.8.x porque o 6.8.0 foi lançado em 6 de novembro de 2019
  • Bitbucket 6.7.x, pois a versão 6.7.0 foi lançada em 1 de outubro de 2019
  • Bitbucket 6.6.x porque o 6.6.0 foi lançado em 27 de agosto de 2019
  • Bitbucket 6.5.x porque o 6.5.0 foi lançado em 24 de julho de 2019

O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug.

Todos os outros produtos (Bamboo, Crucible, Fisheye, etc)

Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do função.

Se uma atualização de segurança crítica do Bamboo for desenvolvida em 1º de janeiro de 2020, as seguintes novas versões de atualização de segurança devem ser desenvolvidas:

  • Bamboo 6.10.x porque foi lançado em 17 de setembro de 2019 e é a versão atual
  • Bamboo 6.9.x porque o 6.9.0 é a versão anterior

Para Crowd, Fisheye e Crucible, a versão com a atualização de segurança vai ser lançada para a versão mais recente do produto.

Exemplos de correções de vulnerabilidades críticas de produtos autogerenciados:

Se a correção de uma vulnerabilidade crítica foi desenvolvida em 1º de fevereiro de 2024, por exemplo, as seguintes versões receberiam a atualização de segurança:

Produto

Exemplo

Jira Software

Exemplo

Jira Software 9.13.x, pois 9.13.0 é a versão de funções mais recente

Exemplo

Jira Software 9.12.x, pois 9.12.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Jira Software 9.4.x, pois 9.4.0 é a versão de suporte de longo prazo anterior

Jira Service Management

Exemplo

Jira Service Management 5.13.x, pois 5.13.0 é a versão de funções mais recente

Exemplo

Jira Service Management 5.12.x, pois 5.12.0 é a Versão de Suporte de Longo Prazo

Exemplo

Jira Service Management 5.4.x, pois 5.4.0 é a segunda versão de suporte de longo prazo suportada mais recente

Confluence

Exemplo

Confluence 8.7.x, pois 8.7.0 é a versão de funções mais recente

Exemplo

Confluence 8.5.x, pois 8.5.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Confluence 7.19.x pois 7.19.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bitbucket

Exemplo

Bitbucket 8.17.x, pois 8.17.0 é a versão de funções mais recente

Exemplo

Bitbucket 8.9.x, pois 8.9.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Bitbucket 7.21.x pois 7.21.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bamboo

Exemplo

Bamboo 9.5.x, pois 9.5.0 é a versão de funções mais recente

Exemplo

Bamboo 9.2.x, pois 9.2.0 é a Versão de Suporte de Longo Prazo mais recente

Crowd

Exemplo

Crowd 5.3.x pois 5.3.0 é a versão de funções mais recente

Fisheye/Crucible

Exemplo

Fisheye/Crucible 4.8.x, pois 4.8.0 é a versão de funções mais recente

Nenhuma outra versão do produto receberia novas atualizações de segurança.

Upgrades frequentes garantem a segurança das instâncias do produto. É recomendado usar a versão mais recente com a atualização de segurança para as funções ou a versão LTS do produto.

Vulnerabilidades não críticas

Quando itens de segurança de gravidade Alta, Média ou Baixa forem descobertos, a Atlassian vai incluir uma atualização de segurança nos objetivos de nível de serviço listados no início deste documento. A correção também pode ser adaptada para Versões de Suporte de Longo Prazo, se possível. A viabilidade do backport depende de dependências complexas, mudanças arquitetônicas, compatibilidade, entre outros fatores.

Você deve fazer o upgrade das instalações quando sair uma atualização de segurança nova para garantir que as correções de segurança mais recentes foram implementadas.

Outras informações

O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.

As políticas da Atlassian são sempre avaliadas com base no retorno dos clientes. Eventuais atualizações e alterações vão ser apresentadas nesta página.

Perguntas frequentes (FAQ)

O que é a atualização de segurança? Copy link to heading Copied! Exibir +
  

A atualização de segurança é o conjunto de alterações feitas em sistemas ou aplicativos para resolver vulnerabilidades que poderiam ser exploradas por hackers. Essas vulnerabilidades, também conhecidas como bugs de segurança, podem levar ao acesso não autorizado, roubo de dados ou outras atividades maliciosas.
O que são vulnerabilidades? Copy link to heading Copied! Exibir +
  

Vulnerabilidades são fraquezas ou falhas que podem ser exploradas por ameaças ou riscos. No contexto da segurança cibernética, a vulnerabilidade pode ser uma falha no software, na rede ou no sistema que permite que usuários não autorizados obtenham acesso e causem danos. Ela pode ser um software desatualizado, senhas fracas ou falta de criptografia de dados.
Onde posso encontrar mais informações sobre vulnerabilidades corrigidas em produtos do Data Center? Copy link to heading Copied! Exibir +
  

A Atlassian publica Alertas de segurança mensais e disponibiliza acesso ao Portal de Divulgação de Vulnerabilidades. O Portal de Divulgação de Vulnerabilidades é o hub central para compartilhar informações sobre vulnerabilidades encontradas nos produtos. Atualizado todo mês com o lançamento do novo Boletim de Segurança, o portal facilita a pesquisa e o acesso a boletins anteriores.
O que é a Versão de Suporte de Longo Prazo? Copy link to heading Copied! Exibir +
  

As Versões de Suporte de Longo Prazo foram feitas para clientes do Data Center que preferem ter mais tempo de preparo para upgrades de versões com novas funções, mas ainda precisam de atualizações de segurança. Certos produtos definem uma versão como sua Versão de Suporte de Longo Prazo. Logo, as atualizações de segurança são disponibilizadas durante os dois anos do período de suporte.
O que é a versão de funções? Copy link to heading Copied! Exibir +
  

A versão de funções (por exemplo, o Jira Software 9.11) inclui novas funções ou alterações importantes nas atuais (com exceção das selecionadas como Versão de Suporte de Longo Prazo). Saiba mais sobre a Política de atualização de segurança da Atlassian.