Política de solución de errores de seguridad
Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.
Ámbito de aplicación
Esta política describe cómo y cuándo resolvemos los errores de vulnerabilidad de seguridad de nuestros productos.
Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad
Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes objetivos para solucionar las incidencias de seguridad de nuestros productos:
Objetivos de resolución acelerados
Estos plazos se aplican a todos los productos en la nube de Atlassian y a cualquier otro software o sistema gestionado por Atlassian, o que se ejecute en infraestructura de Atlassian. También se aplican a Jira Align (tanto a la publicación en la nube como a la autogestionada).
- Las vulnerabilidades de gravedad crítica se deben corregir en el producto en un plazo de 10 días tras su verificación
- Las vulnerabilidades de gravedad alta se deben corregir en el producto en un plazo de 28 días tras su verificación.
- Las vulnerabilidades de gravedad media se deben corregir en el producto en un plazo de 84 días tras su verificación
- Las vulnerabilidades de gravedad baja se deben corregir en el producto en un plazo de 175 días tras su verificación.
Plazos de resolución ampliados
Estos objetivos se aplican a todos los productos autogestionados de Atlassian. Los productos autogestionados son aquellos que los clientes instalan en sistemas gestionados por ellos, e incluyen las aplicaciones móviles y Data Center de Atlassian.
- Las vulnerabilidades de gravedad crítica, alta y media se deben solucionar en el producto en un plazo de 90 días tras su verificación
- Las vulnerabilidades de gravedad baja se deben corregir en el producto en un plazo de 180 días tras su verificación.
Vulnerabilidades críticas
Cuando Atlassian descubre una vulnerabilidad de gravedad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:
- Para los productos en la nube, lanzaremos una nueva publicación corregida del producto afectado lo antes posible.
- Para los productos autogestionados:
- Lanzaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.
- Lanzaremos una nueva publicación de funciones para el producto afectado según el calendario de publicaciones.
- Lanzaremos una publicación de corrección de errores para todas las publicaciones de LTS compatibles del producto afectado, de acuerdo con la política de fin del ciclo de vida del soporte de Atlassian.
Producto | Política de portabilidad con versiones anteriores | Ejemplo |
|---|---|---|
| Jira Software Server y Data Center Jira Core Server y Data Center Jira Service Management Server y Data Center (anteriormente, Jira Service Desk) | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
| Confluence Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
| Bitbucket Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores. |
| Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior. | Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Para Crowd, Fisheye y Crucible, proporcionaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.
Ejemplos de correcciones de vulnerabilidades críticas para productos autogestionados:
Si se desarrolla una corrección de vulnerabilidades de gravedad crítica el 01/02/2024, las siguientes son publicaciones de ejemplo que recibirían la corrección de errores:
Producto | Ejemplo |
|---|---|
| Jira Software | Ejemplo Jira Software 9.13.x porque 9.13.0 es la publicación de funciones más reciente |
| Ejemplo Jira Software 9.12.x porque 9.12.0 es la publicación de soporte a largo plazo más reciente | |
| Ejemplo Jira Software 9.4.x porque 9.4.0 es la publicación de soporte a largo plazo anterior | |
| Jira Service Management | Ejemplo Jira Service Management 5.13.x porque 5.13.0 es la publicación de funciones más reciente |
| Ejemplo Jira Service Management 5.12.x porque 5.12.0 es la publicación de soporte a largo plazo más reciente | |
| Ejemplo Jira Service Management 5.4.x porque 5.4.0 es la segunda publicación de soporte a largo plazo compatible más reciente | |
| Confluence | Ejemplo Confluence 8.7.x porque 8.7.0 es la publicación de funciones más reciente |
| Ejemplo Confluence 8.5.x porque 8.5.0 es la publicación de soporte a largo plazo más reciente | |
| Ejemplo Confluence 7.19.x porque 7.19.0 es la segunda publicación de soporte a largo plazo compatible más reciente | |
| Bitbucket | Ejemplo Bitbucket 8.17.x porque 8.17.0 es la publicación de funciones más reciente |
| Ejemplo Bitbucket 8.9.x porque 8.9.0 es la publicación de soporte a largo plazo más reciente | |
| Ejemplo Bitbucket 7.21.x porque 7.21.0 es la segunda publicación de soporte a largo plazo compatible más reciente | |
| Bamboo | Ejemplo Bamboo 9.5.x porque 9.5.0 es la publicación de funciones más reciente |
| Ejemplo Bamboo 9.2.x porque 9.2.0 es la publicación de soporte a largo plazo más reciente | |
| Crowd | Ejemplo Crowd 5.3.x porque 5.3.0 es la publicación de funciones más reciente |
| Fisheye/Crucible | Ejemplo Fisheye/Crucible 4.8.x porque 4.8.0 es la publicación de funciones más reciente |
Ninguna otra versión del producto recibiría nuevas correcciones de errores.
Las mejoras frecuentes garantizan la seguridad de las instancias de tus productos. Es recomendable seguir con la publicación de corrección de errores más reciente de la última publicación de funciones o LTS de tu producto.
Vulnerabilidades no críticas
Cuando se detecta una incidencia de seguridad de una gravedad alta, media o baja, Atlassian tratará de publicar una corrección dentro de los objetivos de nivel de servicio mencionados al principio de este documento. La corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo, si es factible. El que esto se pueda hacer depende de dependencias complejas, cambios arquitectónicos y compatibilidad, entre otros factores.
Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.
Otra información
El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de las incidencias de seguridad.
Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.