Política de correção de bugs de segurança
Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.
Escopo
Esta política descreve como e quando as vulnerabilidades de segurança são resolvidas nos produtos.
Security bug fix service level objectives (SLOs)
A Atlassian define Objetivos de Nível de Serviço para corrigir vulnerabilidades de segurança com base no nível de gravidade de segurança e no produto afetado. As correções de segurança nos produtos seguem os cronogramas a seguir:
Objetivos de resolução acelerada
These timeframes apply to:
- a todos os produtos da Atlassian baseados em nuvem;
- Any software or system managed by Atlassian
- Any software or system running on Atlassian infrastructure
- Jira Align, cloud and self-managed releases
Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:
- Critical - 14 days
- High - 28 days
- Medium - 42 days
- Low - 175 days
Cronogramas de Resolução Estendida
These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.
- Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
- Low severity vulnerabilities to be fixed in a product within 180 days of being verified
Shared responsibility model
While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:
- Operating Atlassian software on private networks.
- Ensuring timely implementation of security fixes once they're released.
- Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
- Implementing encryption and access controls.
- Performing regular backups.
- Conducting regular security audits.
Vulnerabilidades críticas
Quando vulnerabilidades de segurança críticas forem descobertas pela Atlassian ou relatadas por terceiros, a Atlassian vai:
- Para produtos na nuvem, a gente vai lançar a nova versão corrigida o mais rápido possível
- Para produtos autogerenciados, a gente vai:
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- lançar uma versão com a atualização de segurança para todas as versões LTS suportadas do produto afetado, conforme a Política de término do suporte da Atlassian.
Produto | Política de back port | Exemplo |
---|---|---|
Jira Software Server e Data Center Jira Server and Data Center Jira Service Management Server e Data Center (antes chamado Jira Service Desk) | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
|
Confluence Server e Data Center | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
|
Bitbucket Server e Data Center | Lançar novas atualizações de segurança para:
| Por exemplo, se uma atualização de segurança crítica for desenvolvida em 1º de janeiro de 2020, vai ser necessário produzir as seguintes novas versões de atualização de segurança:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do função. | Se uma atualização de segurança crítica do Bamboo for desenvolvida em 1º de janeiro de 2020, as seguintes novas versões de atualização de segurança devem ser desenvolvidas:
|
Para Crowd, Fisheye e Crucible, a versão com a atualização de segurança vai ser lançada para a versão mais recente do produto.
Exemplos de correções de vulnerabilidades críticas de produtos autogerenciados:
Se a correção de uma vulnerabilidade crítica foi desenvolvida em 1º de fevereiro de 2024, por exemplo, as seguintes versões receberiam a atualização de segurança:
Produto | Exemplo |
---|---|
Jira Software | Exemplo Jira Software 9.13.x, pois 9.13.0 é a versão de funções mais recente |
Exemplo Jira Software 9.12.x, pois 9.12.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Jira Software 9.4.x, pois 9.4.0 é a versão de suporte de longo prazo anterior | |
Jira Service Management | Exemplo Jira Service Management 5.13.x, pois 5.13.0 é a versão de funções mais recente |
Exemplo Jira Service Management 5.12.x, pois 5.12.0 é a Versão de Suporte de Longo Prazo | |
Exemplo Jira Service Management 5.4.x, pois 5.4.0 é a segunda versão de suporte de longo prazo suportada mais recente | |
Confluence | Exemplo Confluence 8.7.x, pois 8.7.0 é a versão de funções mais recente |
Exemplo Confluence 8.5.x, pois 8.5.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Confluence 7.19.x pois 7.19.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo | |
Bitbucket | Exemplo Bitbucket 8.17.x, pois 8.17.0 é a versão de funções mais recente |
Exemplo Bitbucket 8.9.x, pois 8.9.0 é a Versão de Suporte de Longo Prazo mais recente | |
Exemplo Bitbucket 7.21.x pois 7.21.0 é a segunda versão mais recente da Versão de Suporte de Longo Prazo | |
Bamboo | Exemplo Bamboo 9.5.x, pois 9.5.0 é a versão de funções mais recente |
Exemplo Bamboo 9.2.x, pois 9.2.0 é a Versão de Suporte de Longo Prazo mais recente | |
Crowd | Exemplo Crowd 5.3.x pois 5.3.0 é a versão de funções mais recente |
Fisheye/Crucible | Exemplo Fisheye/Crucible 4.8.x, pois 4.8.0 é a versão de funções mais recente |
Nenhuma outra versão do produto receberia novas atualizações de segurança.
Upgrades frequentes garantem a segurança das instâncias do produto. É recomendado usar a versão mais recente com a atualização de segurança para as funções ou a versão LTS do produto.
Vulnerabilidades não críticas
When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.
To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.
Outras informações
O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.
We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.