Unser Ansatz für externe Sicherheitstests
Willkommen in unserem Security Testing Hub, wo du umfassende Informationen zu den Sicherheitstestinitiativen von Atlassian findest, mit denen wir die Sicherheit und den Schutz unserer Produkte und Kunden gewährleisten.
Suchst du etwas anderes? Verwende einen der unten stehenden Links, um deine Suche zu beschleunigen, oder lies weiter, um mehr über das externe Sicherheitstestprogramm von Atlassian zu erfahren.
Atlassian verfolgt einen vielschichtigen Ansatz zur Gewährleistung der externen Sicherheit unserer Produkte. Unser Always-On-Always-Test-Modell basiert auf Crowdsourcing und einer Bug-Bounty, ergänzt durch regelmäßige White-Box-Penetrationstests, die von externen Sicherheitsberatern und unserem internen Sicherheitstestteam durchgeführt werden.
Unsere Philosophie und unser Ansatz
Atlassian ist für seine Werte bekannt. Diese Werte beeinflussen unser gesamtes Handeln – und damit auch unseren Ansatz für Sicherheitstests. In der Praxis sind wir durch unsere Werte zu folgenden Philosophien und Ansätzen gelangt:
- Bugs sind ein unvermeidlicher Teil des Entwicklungsprozesses. Die Frage ist daher nicht, ob überhaupt Bugs vorhanden sind, sondern wie effektiv und schnell wir diese finden und beheben. Das bedeutet nicht, dass wir Bugs einfach hinnehmen – stattdessen arbeiten wir ständig an Innovationen, um ihre Häufigkeit und ihren Schweregrad zu mindern. Denn das Leugnen von Software-Bugs ist kein praktikabler Ansatz.
- Wir unterstützen und nutzen Branchenstandards. Die Standardisierung unserer Terminologie und Herangehensweise ermöglicht uns sicherzustellen, dass wir alles abdecken. Den Kunden hilft sie, unser Vorgehen nachzuvollziehen. So sorgen beispielsweise gängige Sicherheitsrisikobewertungen gemäß Common Vulnerability Scoring System (CVSS) zwischen uns und unseren Kunden für Klarheit über den Schweregrad konkreter Sicherheitsrisiken. Wir befolgen auch die in ISO 27001 und von der Cloud Security Alliance (CSA) dargelegten Prozesse zum Management von Sicherheitsrisiken.
- Externe Sicherheitsforscher sind eine wertvolle Erweiterung unseres Teams. Wenn ein Atlassian-Produkt ein Sicherheitsrisiko aufweist, ist es in unserem Interesse und in dem unserer Kunden, diese so schnell wie möglich zu finden und zu beseitigen.
- Atlassian beauftragt jedes Jahr unabhängige Drittanbieter mit Penetrationstests, um Schwachstellen in unseren Produkten zu finden und unser internes Sicherheitsteam bei Untersuchungen zu unterstützen, die hochspezialisierte Fähigkeiten erfordern.
- Daher werden externe Sicherheitsforscher im Rahmen unseres Bug-Bounty-Programms finanziell entlohnt, wenn sie Sicherheitsrisiken in unseren Produkten entdecken. Mit der Unterstützung dieser externen Forscher können wir unser Team weit über herkömmliche Ansätze hinaus skalieren.
- Wir sind offen und transparent in Bezug auf unser Sicherheitstestprogramm. Wir stellen Beurteilungsschreiben (Letters of Assessment, LoA) für die Penetrationstests unserer Produkte und Statistiken zu den Bugs, die im Rahmen unseres Bug-Bounty-Programms gefunden wurden, zur Verfügung.
Zuverlässige, kontinuierliche Sicherheit
Penetrationstests
Wir beauftragen spezialisierte Sicherheitsdienstleister, um Penetrationstests unserer Produkte und anderer Systeme durchzuführen. Darüber hinaus haben wir ein internes Sicherheitstestteam, das mit externen Beratern zusammenarbeitet, um die technische Sicherheit von Projekten mit hoher Priorität zu gewährleisten, etwa bei einer neuen Produktfunktion (z. B. Whiteboards in Confluence), einem neuen Infrastruktur-Setup (z. B. unsere FedRAMP-Umgebung) oder einer Änderung an der Architektur (z. B. die neue Forge-Laufzeit).
Unser Ansatz für Penetrationstests ist in diesen Fällen zielgerichtet und fokussiert. Wir führen unter anderem die folgenden Tests durch:
- White-Box-Tests: Die Tester erhalten zur Unterstützung Designdokumente und Briefings von unseren Produktentwicklern und können diesen während des Engagements Fragen stellen.
- Tests mit Code-Unterstützung: Die Tester erhalten umfassenden Zugriff auf die relevante Codebasis, damit sie unerwartetes Systemverhalten bei den Tests besser diagnostizieren und potenzielle Ziele leichter ermitteln können.
- Bedrohungsbasierte Tests: Bei diesen Tests liegt der Schwerpunkt auf einem bestimmten Bedrohungsszenario, beispielsweise einer infizierten Instanz, bei der dann die laterale Verbreitung von diesem Ausgangspunkt aus getestet wird.
- Methodenbasierte Tests: Die Tester nutzen eine Reihe von angepassten White-Box-Tests, die auf branchenweit anerkannten Methoden wie dem Open Web Application Security Project (OWASP) basieren. So wird sichergestellt, dass die Tests auch Bedrohungen berücksichtigen, die nur für die Infrastruktur und Technologien von Atlassian gelten.
Wir veröffentlichen Beurteilungsschreiben (Letters of Assessment, LoAs) von unseren Partnern, die die Penetrationstests durchführen. Eine für die externe Nutzung bestimmte Version dieser LoAs ist unten auf dieser Seite zu finden. Da wir den Testern für ihre Beurteilungen umfassende Informationen zur Verfügung stellen, veröffentlichen wir nicht das gesamte Dokument. Die meisten dieser Systeme und Produkte werden später in unser öffentliches Bug-Bounty-Programm aufgenommen. So erhalten Kunden die gewünschte externe Bestätigung der Sicherheit. Die bei diesen Beurteilungen gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Schwachstellen behoben.
Bug-Bounty-Programm
Unser Bug-Bounty-Programm wird von Bugcrowd gehostet. Dieses Programm stellt sicher, dass unsere Produkte fortlaufend auf Schwachstellen getestet werden.
Wir sind davon überzeugt, dass die Teilnahme unabhängiger Sicherheitsexperten an unserem Bug-Bounty-Programm den effektivsten Prozess für externe Sicherheitstests darstellt. Dies begründen wir wie folgt:
- Bug-Bounty-Programme sind durchgehend aktiv. In einer agilen Entwicklungsumgebung mit häufigen Releases sind kontinuierliche Tests unverzichtbar.
- Im Bug-Bounty-Programm kommen mehr als 60.000 potenzielle Forscher zusammen. Dies ist eine ausreichend hohe Zahl an kompetenten Forschern, um die technische Sicherheit zu gewährleisten.
- Bug-Bounty-Sicherheitsforscher entwickeln spezielle Tools und gehen sowohl vertikal (bestimmte Arten von Bugs) als auch horizontal (bestimmte Bountys) vor. Diese Spezialisierung maximiert die Wahrscheinlichkeit, auch schwer erkennbare – und dennoch erhebliche – Sicherheitsrisiken zu entdecken.
Unser Bug-Bounty-Programm deckt mehr als 25 unserer Produkte und Umgebungen ab – von unseren Data-Center-Produkten über mobile Apps bis hin zu Cloud-Produkten. Details zur Anzahl der gemeldeten Sicherheitsrisiken, unserer durchschnittlichen Reaktionszeit und der durchschnittlichen Prämienhöhe sind auf der Bugcrowd-Website zu finden. Dort haben sich mehr als 2.800 Forscher speziell für unser Programm registriert.
Zu den Schwachstellen, die im Zuge unseres Bug-Bounty-Programms erkannt werden sollen, zählen gängige Bedrohungen aus den Listen des Open Web Application Security Project (OWASP) und des Web Application Security Consortium (WASC).
Im Rahmen unserer Initiative für Offenheit und Transparenz laden wir alle Benutzer ein, die Seite zu unserem Bug-Bounty-Programm zu besuchen, sich für das Programm zu registrieren und uns auf den Prüfstand zu stellen.
Marketplace-Apps
Marketplace-Apps werden im Rahmen anderer, von Atlassian gehosteter Bug-Bounty-Programme geprüft, zum Beispiel dem Programm zur Offenlegung von Sicherheitsrisiken und dem Bug-Bounty-Programm für von Atlassian entwickelte Apps.
Von Kunden veranlasste Tests
Gemäß unseren Nutzungsbedingungen für unsere Cloud-Produkte erlauben wir vom Kunden initiierte Tests. Da wir uns zur Offenheit verpflichtet haben, veröffentlichen wir regelmäßig Statistiken aus unserem Bug-Bounty-Programm.
Wir sind der Meinung, dass unsere Bug-Bounty-Programme eine effiziente und ökonomische Methode sind, um die Sicherheit unserer Produkte und Services zu beurteilen. Gleichzeitig verstehen wir, dass Kunden gerne eigene Sicherheitstests durchführen möchten. Deshalb erlauben wir Sicherheitsbeurteilungen (Penetrationstests, Sicherheitsrisikotests) durch Kunden unter der Voraussetzung, dass bestimmte Sicherheitsregeln eingehalten werden.
Berichterstattung über Schwachstellen
Wenn du auf eine Schwachstelle stößt und diese an Atlassian melden möchtest, schaue dir bitte unsere Anweisungen zur Meldung von Sicherheitsrisiken an.
Einer der Unternehmenswerte von Atlassian lautet "Offene Unternehmenskultur – kein Bullsh**" und wir sind der Meinung, dass die Offenlegung von Sicherheitsrisiken zu diesem Wert dazugehört. Wir versuchen, Schwachstellen innerhalb der entsprechenden Service Level Objectives (SLOs) zu beheben. Wir akzeptieren Offenlegungsanträge, die im Rahmen unserer Bug-Bounty-Programme gestellt wurden, nachdem ein Problem behoben und in der Produktionsumgebung veröffentlicht wurde. Wenn ein Bericht jedoch Kundendaten enthält, wird der Antrag abgelehnt. Wenn du eine Offenlegung außerhalb eines unserer Bug-Bounty-Programme planst, bitten wir dich, dies rechtzeitig anzukündigen und zu warten, bis das jeweilige SLO abgeschlossen wurde.
Nicht von unserem Programm für Sicherheitstests abgedeckte Aspekte
Ebenso wie wir offen und klar mitteilen, welche Tests wir durchführen, benennen wir auch Tests, die wir nicht selbst durchführen oder derzeit nicht unterstützen. Bestimmte Arten von Sicherheitsrisiko mit geringem Risiko, wie Aufzählung und Erfassung von Informationen, werden im Allgemeinen nicht als signifikante Risiken angesehen.
Die richtige Einstufung
In unserer Richtlinie zur Behebung von Sicherheits-Bugs ist der SLO-Zeitrahmen (Service Level Objective) zur Behebung von Schwachstellen abhängig vom Schweregrad und Produkt festgelegt. Zur Bewertung von Sicherheitsrisiken nutzen wir das Common Vulnerability Scoring System, das uns hilft, Kunden über den Schweregrad von Sicherheitsrisiken zu informieren.
Zusammenfassung
Das Crowd-Sourcing-basierte Bug-Bounty-Programm von Atlassian, externe Sicherheitsberater und unser internes Sicherheitstestteam bilden zusammen ein umfassendes, ausgereiftes und transparentes Sicherheitsgerüst. Durch das ständige Testen unserer Produkte und Plattformen bieten wir unseren Kunden kontinuierliche Sicherheit.
Möchtest du noch mehr wissen?
Wir haben in diesem kurzen Dokument auf einige andere Dokumente und Ressourcen verwiesen, mit denen du dich näher befassen solltest, wenn du mehr über unseren Ansatz für Sicherheitstests erfahren möchtest.
- Atlassian Trust Center
- Sicherheitsverfahren von Atlassian
- CSA STAR-Eintrag von Atlassian
- Atlassian-Richtlinie für die Behebung von Bugs
- Atlassian-Seite zum Melden von Schwachstellen
- Zuständigkeiten bei Atlassian für Sicherheitsvorfälle
- Atlassian Bug Bounty-Startseite
- Bug-Bounty-Programme von Atlassian
Download der aktuellen Bug-Bounty-Berichte
Alle Schwachstellen, die in den unten aufgeführten Berichten identifiziert wurden, werden von uns intern über Jira verfolgt, so wie sie über das Bug-Bounty-Programm hereinkommen. Die im Bug-Bounty-Programm gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Schwachstellen behoben.
- Aktueller Bug-Bounty-Bericht von Atlassian als Download (Oktober 2024)
- Aktueller Bug-Bounty-Bericht zu Jira Align als Download (Oktober 2024)
- Aktueller Bug-Bounty-Bericht zu Opsgenie als Download (Oktober 2024)
- Aktueller Bug-Bounty-Bericht zu Statuspage als Download (Oktober 2024)
- Aktueller Bug-Bounty-Bericht zu Trello als Download (Oktober 2024)
- Aktueller Bug-Bounty-Bericht von Loom als Download (Oktober 2024)
Jährliche Bug-Bounty-Berichte herunterladen
Zusätzlich zu unseren vierteljährlichen Bug-Bounty-Updates veröffentlichen wir auch einen Jahresbericht über unsere Bug-Bounty-Programme. Dieser Bericht bietet unseren Kunden Einblicke in den Fortschritt des Programms und enthält detaillierte Informationen über die Arten der entdeckten Sicherheitsrisiken.
- Den Atlassian Bug-Bounty-Bericht für das Geschäftsjahr 2023 herunterladen(Juli 2022 – Juni 2023)
Download von Beurteilungsschreiben (Letters of Assessment, LoA)
Alle Schwachstellen, die in den unten aufgeführten Berichten identifiziert wurden, werden von uns intern über Jira verfolgt, so wie sie über den Prozess für Penetrationstests hereinkommen. Die dabei gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Schwachstellen behoben.
- Beurteilungsschreiben (Letter of Assessment) für Bitbucket Pipelines (2022-05)
- Beurteilungsschreiben (Letter of Assessment) für die Atlassian Log4j Library für Confluence und Jira (2022-12)
- Beurteilungsschreiben (Letter of Assessment) für Statuspage Cloud (2022-12)
- Beurteilungsschreiben (Letter of Assessment) für Atlas (2023-04)
- Beurteilungsschreiben (Letter of Assessment) für Atlassian Assist (2023-07)
- Beurteilungsschreiben (Letter of Assessment) für Jira Service Management Data Center (2023-12)
- Beurteilungsschreiben (Letter of Assessment) für Confluence Cloud (2023-12)
- Beurteilungsschreiben (Letter of Assessment) für Trello (2024-01)
- Beurteilungsschreiben (Letter of Assessment) für Bitbucket Cloud (2024-02)
- Beurteilungsschreiben (Letter of Assessment) für Jira Work Management (2024-02)
- Beurteilungsschreiben (Letter of Assessment) für Confluence Data Center (2024-02)
- Beurteilungsschreiben (Letter of Assessment) für die Jira Cloud-Plattform (März 2024)
- Beurteilungsschreiben (Letter of Assessment) für die Simulation externer und interner Bedrohungssituationen bei Atlassian (2024-04)
- Beurteilungsschreiben (Letter of Assessment) für Bamboo Server und Data Center (2024-05)
- Beurteilungsschreiben (Letter of Assessment) für Jira Product Discovery (Mai 2024)
- Beurteilungsschreiben (Letter of Assessment) für Atlassian Analytics (Webanwendung) (2024-06)
- Beurteilungsschreiben (Letter of Assessment) für Atlassian Guard (Juni 2024)
- Beurteilungsschreiben (Letter of Assessment) für Jira Software Data Center (2024-06)
- Beurteilungsschreiben (Letter of Assessment) für Fisheye und Crucible Server (Webanwendung) (Juli 2024)
- Beurteilungsschreiben (Letter of Assessment) für Compass (Webanwendung) (Juli 2024)
- Beurteilungsschreiben (Letter of Assessment) für Crowd Server und Data Center (2024-07)
- Beurteilungsschreiben (Letter of Assessment) für SourceTree (2024-09)
- Beurteilungsschreiben (Letter of Assessment) für Bitbucket Server und DC (2024-09)
- Beurteilungsschreiben (Letter of Assessment) für Forge (2024-09)
- Beurteilungsschreiben (Letter of Assessment) für Jira Service Management, Opsgenie Cloud & AirTrack (2024-09)
- Beurteilungsschreiben (Letter of Assessment) für Jira Align (2024-09)
- Beurteilungsschreiben für Loom (2024-10)
- Beurteilungsschreiben (Letter of Assessment) für Atlassian Guard (Webanwendung, ehemals Beacon) (2024-11)
- Beurteilungsschreiben (Letter of Assessment) für Rovo (2024-11)