Close
Diese Seite in deiner Sprache anzeigen?
Alle Sprachen
Sprache auswählen

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.

Umfang

Diese Richtlinie beschreibt, wie und wann wir Sicherheitsrisiken in unseren Produkten beheben.

Security bug fix service level objectives (SLOs)

Atlassian legt Service Level Objectives zur Behebung von Sicherheitsrisiken auf Grundlage des Schweregrads und des betroffenen Produkts fest. Wir haben die folgenden Zeitvorgaben für die Behebung von Sicherheitsproblemen bei unseren Produkten festgelegt:

Ziele für die schnelle Problembehebung

These timeframes apply to:

  • Alle cloudbasierten Atlassian-Produkte
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Verlängerte Problembehebungsfristen

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Kritische Sicherheitslücken

Wenn ein "kritisches" Sicherheitsrisiko von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian die folgenden Maßnahmen:

  • Für Cloud-Produkte liefern wir so schnell wie möglich einen neuen Release mit der Behebung für das betroffene Produkt.
  • Für selbstverwaltete Produkte liefern wir:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • einen Bugfix-Release für alle langfristig unterstützten Releases des betroffenen Produkts gemäß der Support-End-of-Life-Richtlinie von Atlassian.

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Server and Data Center

Jira Service Management Server und Data Center (ehemals Jira Service Desk)

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist

Für Crowd, Fisheye und Crucible liefern wir einen Bugfix-Release für den neuesten Feature-Release des betroffenen Produkts.

Beispiele zu Behebungen von kritischen Sicherheitsrisiken für selbstverwaltete Produkte:

Angenommen, die Behebung eines kritischen Sicherheitsrisikos wäre am 1. Februar 2024 entwickelt worden. In diesem Fall würden die folgenden Releases den Bugfix erhalten:

Produkt

Beispiel

Jira Software

Beispiel

Jira Software 9.13.x, weil 9.13.0 der neueste Feature-Release ist

Beispiel

Jira Software 9.12.x, weil 9.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Software 9.4.x, weil 9.4.0 der vorherige langfristig unterstützte Release ist

Jira Service Management

Beispiel

Jira Service Management 5.13.x, weil 5.13.0 der neueste Feature-Release ist

Beispiel

Jira Service Management 5.12.x, weil 5.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Service Management 5.4.x, weil 5.4.0 der zweitneueste langfristig unterstützte Release ist

Confluence

Beispiel

Confluence 8.7.x, weil 8.7.0 der neueste Feature-Release ist

Beispiel

Confluence 8.5.x, weil 8.5.0 der neueste langfristig unterstützte Release ist

Beispiel

Confluence 7.19.x, weil 7.19.0 der zweitneueste langfristig unterstützte Release ist

Bitbucket

Beispiel

Bitbucket 8.17.x, weil 8.17.0 der neueste Feature-Release ist

Beispiel

Bitbucket 8.9.x, weil 8.9.0 der neueste langfristig unterstützte Release ist

Beispiel

Bitbucket 7.21.x, weil 7.21.0 der zweitneueste langfristig unterstützte Release ist

Bamboo

Beispiel

Bamboo 9.5.x, weil 9.5.0 der neueste Feature-Release ist

Beispiel

Bamboo 9.2.x, weil 9.2.0 der neueste langfristig unterstützte Release ist

Crowd

Beispiel

Crowd 5.3.x, weil 5.3.0 der neueste Feature-Release ist

Fisheye/Crucible

Beispiel

Fisheye/Crucible 4.8.x, weil 4.8.0 der neueste Feature-Release ist

Keine anderen Produktversionen würden neue Bugfixes erhalten.

Häufige Upgrades stellen sicher, dass deine Produktinstanzen sicher sind. Es ist eine Best Practice, den neuesten Bugfix-Release des neuesten Feature-Release oder langfristig unterstützten Release deines Produkts zu nutzen.

Nicht kritische Schwachstellen

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Sonstige Informationen

Der Schweregrad von Sicherheitsrisiken wird anhand der Schweregrade von Sicherheitsvorfällen berechnet.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

FAQ

What is a shared responsibility model? Copy link to heading Copied! Mehr anzeigen
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.
What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Mehr anzeigen
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.
What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Mehr anzeigen
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.
What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Mehr anzeigen
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.
Where can I find the latest releases? Copy link to heading Copied! Mehr anzeigen
  

You can always check the software download portal or visit the product-specific download pages.
What is a supported release? Copy link to heading Copied! Mehr anzeigen
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.
Where I find a list of supported releases? Copy link to heading Copied! Mehr anzeigen
  

Check out the Atlassian Data Center End of Support Policy for the most up-to-date information.
What is a vulnerability? Copy link to heading Copied! Mehr anzeigen
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.
Was ist ein Bugfix für eine Sicherheitslücke? Copy link to heading Copied! Mehr anzeigen
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.
Wo finde ich weitere Informationen über behobene Sicherheitsrisiken in Data Center-Produkten? Copy link to heading Copied! Mehr anzeigen
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.