Close
Diese Seite in deiner Sprache anzeigen?
Alle Sprachen
Sprache auswählen

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.

Umfang

Diese Richtlinie beschreibt, wie und wann wir Sicherheitsrisiken in unseren Produkten beheben.

Service Level Objectives (SLOs) für die Behebung von sicherheitsrelevanten Bugs

Atlassian legt Service Level Objectives zur Behebung von Sicherheitsrisiken auf Grundlage des Schweregrads und des betroffenen Produkts fest. Wir haben die folgenden Zeitvorgaben für die Behebung von Sicherheitsproblemen bei unseren Produkten festgelegt:

Ziele für die schnelle Problembehebung

Diese Zeitrahmen gelten für:

  • Alle cloudbasierten Atlassian-Produkte
  • Jede Software bzw. jedes System, das von Atlassian verwaltet wird
  • Jede Software bzw. jedes System, das innerhalb der Atlassian-Infrastruktur ausgeführt wird
  • Jira Align – Cloud-Releases und selbstverwaltete Releases

Je nach Schweregrad des Sicherheitsrisikos haben wir die folgenden Zeitvorgaben für den Bugfix in einem Produkt nach der Überprüfung festgelegt:

  • Kritisch – 14 Tage
  • Hoch – 28 Tage
  • Mittel – 42 Tage
  • Niedrig – 175 Tage

Verlängerte Problembehebungsfristen

Diese Zeitvorgaben gelten für alle Data Center-Produkte von Atlassian. Data Center-Produkte werden vom Kunden auf selbst verwalteten Systemen installiert. Dazu zählen die auch die Data Center- und mobilen Apps von Atlassian.

  • Schweregrad Kritisch, Hoch und Mittel: Diese Sicherheitsrisiken sollten spätestens 90 Tage nach der Meldung im Produkt behoben sein.
  • Schweregrad Niedrig: Diese Sicherheitsrisiken sollten spätestens 180 Tage nach der Meldung im Produkt behoben sein.

Modell der geteilten Verantwortung

Wir bei Atlassian legen großen Wert darauf, sofort einsatzbereite, sichere Produkte zu liefern. Wir verlassen uns jedoch auch auf ein Modell der geteilten Verantwortung. Bei diesem Modell müssen Kunden Praktiken implementieren, die über das Deployment hinaus andauern und sich bis in die Betriebsphasen erstrecken. Zu diesen Verantwortlichkeiten gehören:

  • Betrieb der Atlassian-Software in privaten Netzwerken
  • Schnelle Implementierung von Sicherheitskorrekturen, sobald sie veröffentlicht werden
  • Konfiguration von Web Application Firewalls (WAF), VPNs, Multi-Faktor-Authentifizierung und Single-Sign-On
  • Implementierung von Verschlüsselung und Zugriffskontrollen
  • Durchführung regelmäßiger Backups
  • Durchführung regelmäßiger Sicherheitsaudits

Kritische Sicherheitslücken

Wenn ein "kritisches" Sicherheitsrisiko von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian die folgenden Maßnahmen:

  • Für Cloud-Produkte liefern wir so schnell wie möglich einen neuen Release mit der Behebung für das betroffene Produkt.
  • Für selbstverwaltete Produkte liefern wir:
    • ein Bugfix-Release für das neueste Feature-Release des betroffenen Produkts;
    • ein neues Feature-Release für das betroffene Produkt gemäß Release-Zeitplan;
    • einen Bugfix-Release für alle langfristig unterstützten Releases des betroffenen Produkts gemäß der Support-End-of-Life-Richtlinie von Atlassian.

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Server und Data Center

Jira Service Management Server und Data Center (ehemals Jira Service Desk)

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist

Für Crowd, Fisheye und Crucible liefern wir einen Bugfix-Release für den neuesten Feature-Release des betroffenen Produkts.

Beispiele zu Behebungen von kritischen Sicherheitsrisiken für selbstverwaltete Produkte:

Angenommen, die Behebung eines kritischen Sicherheitsrisikos wäre am 1. Februar 2024 entwickelt worden. In diesem Fall würden die folgenden Releases den Bugfix erhalten:

Produkt

Beispiel

Jira Software

Beispiel

Jira Software 9.13.x, weil 9.13.0 der neueste Feature-Release ist

Beispiel

Jira Software 9.12.x, weil 9.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Software 9.4.x, weil 9.4.0 der vorherige langfristig unterstützte Release ist

Jira Service Management

Beispiel

Jira Service Management 5.13.x, weil 5.13.0 der neueste Feature-Release ist

Beispiel

Jira Service Management 5.12.x, weil 5.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Service Management 5.4.x, weil 5.4.0 der zweitneueste langfristig unterstützte Release ist

Confluence

Beispiel

Confluence 8.7.x, weil 8.7.0 der neueste Feature-Release ist

Beispiel

Confluence 8.5.x, weil 8.5.0 der neueste langfristig unterstützte Release ist

Beispiel

Confluence 7.19.x, weil 7.19.0 der zweitneueste langfristig unterstützte Release ist

Bitbucket

Beispiel

Bitbucket 8.17.x, weil 8.17.0 der neueste Feature-Release ist

Beispiel

Bitbucket 8.9.x, weil 8.9.0 der neueste langfristig unterstützte Release ist

Beispiel

Bitbucket 7.21.x, weil 7.21.0 der zweitneueste langfristig unterstützte Release ist

Bamboo

Beispiel

Bamboo 9.5.x, weil 9.5.0 der neueste Feature-Release ist

Beispiel

Bamboo 9.2.x, weil 9.2.0 der neueste langfristig unterstützte Release ist

Crowd

Beispiel

Crowd 5.3.x, weil 5.3.0 der neueste Feature-Release ist

Fisheye/Crucible

Beispiel

Fisheye/Crucible 4.8.x, weil 4.8.0 der neueste Feature-Release ist

Keine anderen Produktversionen würden neue Bugfixes erhalten.

Häufige Upgrades stellen sicher, dass deine Produktinstanzen sicher sind. Es ist eine Best Practice, den neuesten Bugfix-Release des neuesten Feature-Release oder langfristig unterstützten Release deines Produkts zu nutzen.

Nicht kritische Schwachstellen

Wenn eine Sicherheitslücke mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" entdeckt wird, versucht Atlassian, diese im Rahmen der am Anfang dieses Dokuments angegebenen Service Level Objectives zu beheben. Sofern möglich, wird der Bugfix unter Umständen auch für langfristig unterstützte Releases zurückportiert. Die Machbarkeit von Rückportierungen hängt von verschiedenen Faktoren ab, wie z. B. von Software-Abhängigkeiten, architektonischen Änderungen und Kompatibilitätsproblemen.

Um sicherzustellen, dass deine Installationen die neuesten Fehlerbehebungen enthalten, solltest du ein Upgrade für sie durchführen, sobald ein Bugfix-Release veröffentlicht wird.

Sonstige Informationen

Der Schweregrad von Sicherheitsrisiken wird anhand der Schweregrade von Sicherheitsvorfällen berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt.

FAQ

Was ist ein Modell der geteilten Verantwortung? Copy link to heading Copied! Mehr anzeigen
  

Hierbei handelt es sich um eine Vereinbarung zwischen einem Anbieter wie Atlassian und seinen Kunden zur Implementierung von Best Practices, die über das erste Deployment hinaus Bestand haben und sich bis in die Betriebsphasen erstrecken. Einzelheiten findest du in der Sicherheitscheckliste für Data Center und den Informationen zur geteilten Verantwortung.
Was ist ein langfristig unterstütztes Release? (Beispiel: Jira Software 10.3 LTS) Copy link to heading Copied! Mehr anzeigen
  

Langfristig unterstützte Releases sind für Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Releases gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten wird eine bestimmte Version als langfristig unterstütztes Release gekennzeichnet, sodass Sicherheits-Bugfixes über den vollen Supportzeitraum von zwei Jahren zur Verfügung stehen.
Was ist ein Feature-Release? (Beispiel: Jira Software 10.1) Copy link to heading Copied! Mehr anzeigen
  

Ein Feature-Release ist eine Version, die nicht als LTS-Release gekennzeichnet wurde. Stattdessen beinhaltet es neue Funktionen, Änderungen an unterstützten Plattformen (wie Datenbanken, Betriebssystemen, Git-Versionen) oder das Entfernen von Funktionen.

Weitere Informationen über die Atlassian-Richtlinie für die Behebung von Bugs
Was ist ein Bugfix-Release? (Beispiel: Jira Software 10.2.1) Copy link to heading Copied! Mehr anzeigen
  

Bugfix-Releases können Stabilitäts- und Leistungsverbesserungen sowie die Behebung von Funktionsfehlern und Sicherheitsrisiken beinhalten. Je nach Art der Bugfixes führen sie möglicherweise geringfügige Änderungen an bestehenden Funktionen ein. Sie beinhalten jedoch keine neuen Funktionen oder Änderungen mit hohem Risiko, sodass sie schnell übernommen werden können. Wir empfehlen, umgehend auf das neueste Bugfix-Release für deine aktuelle Version zu aktualisieren.
Wo finde ich die neuesten Releases? Copy link to heading Copied! Mehr anzeigen
  

Du kannst jederzeit im Software-Download-Portal nachschauen oder die produktspezifischen Downloadseiten besuchen.
Was ist ein unterstütztes Release? Copy link to heading Copied! Mehr anzeigen
  

Atlassian unterstützt Releases für zwei Jahre, nachdem das ursprüngliche Feature oder das langfristig unterstützte Release (Long-Term Support, LTS-Release) veröffentlicht wurde. Zum Beispiel bieten wir nach der Veröffentlichung von Jira 9.14.0 zwei Jahre lang technischen Support für Jira Software 9.14.x.
Wo finde ich eine Liste der unterstützten Releases? Copy link to heading Copied! Mehr anzeigen
  

Die neuesten Informationen findest du in der Richtlinie zum Ende des Supports für Atlassian Data Center.
Was ist ein Sicherheitsrisiko? Copy link to heading Copied! Mehr anzeigen
  

Ein Sicherheitsrisiko ist eine Sicherheitslücke oder ein Fehler, der durch eine Bedrohung oder ein Risiko ausgenutzt werden kann. Im Zusammenhang mit Cybersicherheit könnte ein Sicherheitsrisiko eine Lücke in der Software, im Netzwerk oder im System sein, die es unbefugten Benutzern ermöglicht, Zugriff zu erhalten und Schaden anzurichten. Dazu zählen veraltete Software, schwache Kennwörter oder fehlende Datenverschlüsselung.
Was ist ein Bugfix für eine Sicherheitslücke? Copy link to heading Copied! Mehr anzeigen
  

Ein Bugfix für eine Sicherheitslücke besteht aus einer Reihe von Änderungen, die an einem System oder einer Anwendung vorgenommen werden, um Sicherheitsrisiken zu beheben, die von Hackern ausgenutzt werden könnten. Diese Sicherheitsrisiken, auch Sicherheits-Bugs genannt, können zu unberechtigtem Zugriff, Datendiebstahl oder anderen böswilligen Aktivitäten führen.
Wo finde ich weitere Informationen über behobene Sicherheitsrisiken in Data Center-Produkten? Copy link to heading Copied! Mehr anzeigen
  

Atlassian veröffentlicht monatliche Sicherheitsempfehlungen und bietet ein Portal zur Offenlegung von Schwachstellen. Das Portal zur Offenlegung von Schwachstellen ist eine zentrale Anlaufstelle für Informationen über offengelegte Sicherheitsrisiken in unseren Produkten. Es wird monatlich mit der Veröffentlichung jedes Sicherheitsbulletins aktualisiert und bietet eine einfache Möglichkeit, um Informationen aus früheren Bulletins zu suchen und nachzulesen.