Close

Política de correção de bugs de segurança

Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.


Escopo

Esta política descreve como e quando as vulnerabilidades de segurança são resolvidas nos produtos.

Security bug fix service level objectives (SLOs)

A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. As correções de segurança nos produtos seguem os cronogramas a seguir:

Objetivos de resolução acelerada

These timeframes apply to:

  • a todos os produtos da Atlassian baseados em nuvem;
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Cronogramas de Resolução Estendida

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Vulnerabilidades críticas

Quando vulnerabilidades de segurança críticas forem descobertas pela Atlassian ou relatadas por terceiros, a Atlassian vai:

  • Para produtos na nuvem, a gente vai lançar a nova versão corrigida o mais rápido possível
  • Para produtos autogerenciados, a gente vai:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • lançar uma versão com a atualização de segurança para todas as versões LTS suportadas do produto afetado, conforme a Política de término do suporte da Atlassian.

Produto
Política de back port
Exemplo

Jira Software Server e Data Center

Jira Server and Data Center

Jira Service Management Server e Data Center (antes chamado Jira Service Desk)

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Jira 8.6.x porque o 8.6.0 foi lançado em 17 de dezembro de 2019
  • Jira 8.5.x porque o 8.5.0 foi lançado em 21 de outubro de 2019
  • Jira 8.4.x porque o 8.4.0 foi lançado em 9 de setembro de 2019
  • Jira 8.3.x porque o 8.3.0 foi lançado em 22 de julho de 2019
  • Jira 7.13.x porque o 7.13 é uma versão de Suporte de longo prazo e o 7.13.0 foi lançado em 28 de novembro de 2018

Confluence Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Confluence 7.2.x porque o 7.2.0 foi lançado em 12 de dezembro de 2019
  • Confluence 7.1.x porque o 7.1.0 foi lançado em 4 de novembro de 2019
  • Confluence 7.0.x porque o 7.0.0 foi lançado em 10 de setembro de 2019
  • Confluence 6.13.x, porque o 6.13 é uma versão de Suporte de longo prazo e o 6.13.0 foi lançado em 4 de dezembro de 2018

Bitbucket Server e Data Center

Lançar novas atualizações de segurança para:

  • Todas as versões designadas como "Versão de suporte de longo prazo" que não atingiram o fim da vida útil
  • Todas as versões de funções lançadas no prazo de 6 meses a partir da data em que a correção foi lançada.

Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:

  • Bitbucket 6.9.x porque o 6.9.0 foi lançado em 10 de dezembro de 2019
  • Bitbucket 6.8.x porque o 6.8.0 foi lançado em 6 de novembro de 2019
  • Bitbucket 6.7.x, pois a versão 6.7.0 foi lançada em 1 de outubro de 2019
  • Bitbucket 6.6.x porque o 6.6.0 foi lançado em 27 de agosto de 2019
  • Bitbucket 6.5.x porque o 6.5.0 foi lançado em 24 de julho de 2019

O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug.

Todos os outros produtos (Bamboo, Crucible, Fisheye, etc)

Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do função.

Se uma atualização de segurança crítica do Bamboo for desenvolvida em 1º de janeiro de 2020, as seguintes novas versões de atualização de segurança devem ser desenvolvidas:

  • Bamboo 6.10.x porque foi lançado em 17 de setembro de 2019 e é a versão atual
  • Bamboo 6.9.x porque o 6.9.0 é a versão anterior

Para Crowd, Fisheye e Crucible, a versão com a atualização de segurança vai ser lançada para a versão mais recente do produto.

Exemplos de correções de vulnerabilidades críticas de produtos autogerenciados:

Se a correção de uma vulnerabilidade crítica foi desenvolvida em 1º de fevereiro de 2024, por exemplo, as seguintes versões receberiam a atualização de segurança:

Produto

Exemplo

Jira Software

Exemplo

Jira Software 9.13.x, pois 9.13.0 é a versão de funções mais recente

Exemplo

Jira Software 9.12.x, pois 9.12.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Jira Software 9.4.x, pois 9.4.0 é a versão de suporte de longo prazo anterior

Jira Service Management

Exemplo

Jira Service Management 5.13.x, pois 5.13.0 é a versão de funções mais recente

Exemplo

Jira Service Management 5.12.x, pois 5.12.0 é a Versão de Suporte de Longo Prazo

Exemplo

Jira Service Management 5.4.x, pois 5.4.0 é a segunda versão de suporte de longo prazo suportada mais recente

Confluence

Exemplo

Confluence 8.7.x, pois 8.7.0 é a versão de funções mais recente

Exemplo

Confluence 8.5.x, pois 8.5.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Confluence 7.19.x pois 7.19.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bitbucket

Exemplo

Bitbucket 8.17.x, pois 8.17.0 é a versão de funções mais recente

Exemplo

Bitbucket 8.9.x, pois 8.9.0 é a Versão de Suporte de Longo Prazo mais recente

Exemplo

Bitbucket 7.21.x pois 7.21.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo

Bamboo

Exemplo

Bamboo 9.5.x, pois 9.5.0 é a versão de funções mais recente

Exemplo

Bamboo 9.2.x, pois 9.2.0 é a Versão de Suporte de Longo Prazo mais recente

Crowd

Exemplo

Crowd 5.3.x pois 5.3.0 é a versão de funções mais recente

Fisheye/Crucible

Exemplo

Fisheye/Crucible 4.8.x, pois 4.8.0 é a versão de funções mais recente

Nenhuma outra versão do produto receberia novas atualizações de segurança.

Upgrades frequentes garantem a segurança das instâncias do produto. É recomendado usar a versão mais recente com a atualização de segurança para as funções ou a versão LTS do produto.

Vulnerabilidades não críticas

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Outras informações

O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

Perguntas frequentes (FAQ)

What is a shared responsibility model? Copy link to heading Copied! Exibir +
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.

What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Exibir +
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.

What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Exibir +
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.

What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Exibir +
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.

What is a supported release? Copy link to heading Copied! Exibir +
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.

What is a vulnerability? Copy link to heading Copied! Exibir +
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.

O que é a atualização de segurança? Copy link to heading Copied! Exibir +
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

Onde posso encontrar mais informações sobre vulnerabilidades corrigidas em produtos do Data Center? Copy link to heading Copied! Exibir +
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.