Close
¿Quieres ver esta página en tu idioma?
Todos los idiomas
Elige tu idioma

Política de solución de errores de seguridad

Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.

Ámbito de aplicación

Esta política describe cómo y cuándo resolvemos los errores de vulnerabilidad de seguridad de nuestros productos.

Security bug fix service level objectives (SLOs)

Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes objetivos para solucionar las incidencias de seguridad de nuestros productos:

Objetivos de resolución acelerados

These timeframes apply to:

  • Todos los productos de Atlassian basados en la nube.
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Plazos de resolución ampliados

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Vulnerabilidades críticas

Cuando Atlassian descubre una vulnerabilidad de gravedad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:

  • Para los productos en la nube, lanzaremos una nueva publicación corregida del producto afectado lo antes posible.
  • Para los productos autogestionados:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • Lanzaremos una publicación de corrección de errores para todas las publicaciones de LTS compatibles del producto afectado, de acuerdo con la política de fin del ciclo de vida del soporte de Atlassian.

Producto
Política de parches multifunción
Ejemplo

Jira Software Server y Data Center

Jira Server and Data Center

Jira Service Management Server y Data Center (anteriormente, Jira Service Desk)

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Jira 8.6.x porque la versión 8.6.0 se publicó el 17 de diciembre de 2019
  • Jira 8.5.x porque la versión 8.5.0 se publicó el 21 de octubre de 2019
  • Jira 8.4.x porque la versión 8.4.0 se publicó el 9 de septiembre de 2019
  • Jira 8.3.x porque la versión 8.3.0 se publicó el 22 de julio de 2019
  • Jira 7.13.x porque 7.13 es una publicación de soporte a largo plazo y 7.13.0 se publicó el 28 de noviembre de 2018

Confluence Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Confluence 7.2.x porque la versión 7.2.0 se publicó el 12 de diciembre de 2019
  • Confluence 7.1.x porque la versión 7.1.0 se publicó el 4 de noviembre de 2019
  • Confluence 7.0.x porque la versión 7.0.0 se publicó el 10 de septiembre de 2019
  • Confluence 6.13.x porque 6.13 es una publicación de soporte a largo plazo y 6.13.0 se publicó el 4 de diciembre de 2018

Bitbucket Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 6.9.x porque la versión 6.9.0 se publicó el 10 de diciembre de 2019
  • Bitbucket 6.8.x porque la versión 6.8.0 se publicó el 6 de noviembre de 2019
  • Bitbucket 6.7.x porque la versión 6.7.0 se publicó el 1 de octubre de 2019
  • Bitbucket 6.6.x porque la versión 6.6.0 se publicó el 27 de agosto de 2019
  • Bitbucket 6.5.x porque la versión 6.5.0 se publicó el 24 de julio de 2019

Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores.

Todos los demás productos (Bamboo, Crucible, Fisheye, etc.)

Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bamboo 6.10.x porque se publicó el 17 de septiembre de 2019 y es la versión actual
  • Bamboo 6.9.x porque 6.9.0 es la versión anterior

Para Crowd, Fisheye y Crucible, proporcionaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.

Ejemplos de correcciones de vulnerabilidades críticas para productos autogestionados:

Si se desarrolla una corrección de vulnerabilidades de gravedad crítica el 01/02/2024, las siguientes son publicaciones de ejemplo que recibirían la corrección de errores:

Producto

Ejemplo

Jira Software

Ejemplo

Jira Software 9.13.x porque 9.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Software 9.12.x porque 9.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Software 9.4.x porque 9.4.0 es la publicación de soporte a largo plazo anterior

Jira Service Management

Ejemplo

Jira Service Management 5.13.x porque 5.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Service Management 5.12.x porque 5.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Service Management 5.4.x porque 5.4.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Confluence

Ejemplo

Confluence 8.7.x porque 8.7.0 es la publicación de funciones más reciente

Ejemplo

Confluence 8.5.x porque 8.5.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Confluence 7.19.x porque 7.19.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bitbucket

Ejemplo

Bitbucket 8.17.x porque 8.17.0 es la publicación de funciones más reciente

Ejemplo

Bitbucket 8.9.x porque 8.9.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Bitbucket 7.21.x porque 7.21.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bamboo

Ejemplo

Bamboo 9.5.x porque 9.5.0 es la publicación de funciones más reciente

Ejemplo

Bamboo 9.2.x porque 9.2.0 es la publicación de soporte a largo plazo más reciente

Crowd

Ejemplo

Crowd 5.3.x porque 5.3.0 es la publicación de funciones más reciente

Fisheye/Crucible

Ejemplo

Fisheye/Crucible 4.8.x porque 4.8.0 es la publicación de funciones más reciente

Ninguna otra versión del producto recibiría nuevas correcciones de errores.

Las mejoras frecuentes garantizan la seguridad de las instancias de tus productos. Es recomendable seguir con la publicación de corrección de errores más reciente de la última publicación de funciones o LTS de tu producto.

Vulnerabilidades no críticas

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Otra información

El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de las incidencias de seguridad.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

Preguntas frecuentes

What is a shared responsibility model? Copy link to heading Copied! Mostrar +
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.
What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Mostrar +
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.
What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Mostrar +
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.
What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Mostrar +
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.
Where can I find the latest releases? Copy link to heading Copied! Mostrar +
  

You can always check the software download portal or visit the product-specific download pages.
What is a supported release? Copy link to heading Copied! Mostrar +
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.
Where I find a list of supported releases? Copy link to heading Copied! Mostrar +
  

Check out the Atlassian Data Center End of Support Policy for the most up-to-date information.
What is a vulnerability? Copy link to heading Copied! Mostrar +
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.
¿Qué es una corrección de errores de seguridad? Copy link to heading Copied! Mostrar +
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.
¿Dónde puedo encontrar más información sobre las vulnerabilidades solucionadas en los productos de Data Center? Copy link to heading Copied! Mostrar +
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.