Politique de correction des bugs de sécurité
Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.
Périmètre
Cette politique décrit de quelle manière et dans quels délais nous pouvons résoudre les failles de sécurité de nos produits.
Security bug fix service level objectives (SLOs)
Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini les objectifs temporels suivants pour la correction des problèmes de sécurité dans nos produits :
Objectifs de résolution accélérés
These timeframes apply to:
- Tous les produits Atlassian basés dans le cloud
- Any software or system managed by Atlassian
- Any software or system running on Atlassian infrastructure
- Jira Align, cloud and self-managed releases
Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:
- Critical - 14 days
- High - 28 days
- Medium - 42 days
- Low - 175 days
Délais de résolution étendus
These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.
- Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
- Low severity vulnerabilities to be fixed in a product within 180 days of being verified
Shared responsibility model
While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:
- Operating Atlassian software on private networks.
- Ensuring timely implementation of security fixes once they're released.
- Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
- Implementing encryption and access controls.
- Performing regular backups.
- Conducting regular security audits.
Vulnérabilités critiques
Lorsqu'une vulnérabilité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian prendra les mesures suivantes :
- Pour les produits cloud, nous livrerons une nouvelle version corrigée pour le produit concerné dès que possible.
- Pour les produits auto-gérés, nous :
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- livrerons une version de correction de bug pour toutes les versions de support à long terme (LTS) prises en charge du produit concerné, conformément à la Politique Atlassian de fin de vie du support.
Produit | Politique de rétroportage | Exemple |
|---|---|---|
| Jira Software Server et Data Center Jira Server and Data Center Jira Service Management Server et Data Center (anciennement, Jira Service Desk) | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
| Confluence Server et Data Center | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
| Bitbucket Server et Data Center | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite. |
| Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente. | Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :
|
Pour Crowd, Fisheye et Crucible, nous fournirons une version de correction de bug pour les dernières fonctionnalités du produit concerné.
Exemples de corrections de vulnérabilités critiques pour les produits auto-gérés :
Si une correction de vulnérabilité critique était développée le 1er février 2024, ces versions bénéficieraient de la correction de bug :
Produit | Exemple |
|---|---|
| Jira Software | Exemple Jira Software 9.13.x, car la version 9.13.0 est la dernière version de fonctionnalités |
| Exemple Jira Software 9.12.x, car la version 9.12.0 est la dernière version de support à long terme | |
| Exemple Jira Software 9.4.x, car la version 9.4.0 est la précédente version de support à long terme | |
| Jira Service Management | Exemple Jira Service Management 5.13.x, car la version 5.13.0 est la dernière version de fonctionnalités |
| Exemple Jira Service Management 5.12.x, car la version 5.12.0 est la dernière version de support à long terme | |
| Exemple Jira Service Management 5.4.x, car la version 5.4.0 est la deuxième version de support à long terme la plus récente prise en charge | |
| Confluence | Exemple Confluence 8.7.x, car la version 8.7.0 est la dernière version de fonctionnalités |
| Exemple Confluence 8.5.x, car la version 8.5.0 est la dernière version de support à long terme | |
| Exemple Confluence 7.19.x, car la version 7.19.0 est la deuxième version de support à long terme la plus récente prise en charge | |
| Bitbucket | Exemple Bitbucket 8.17.x, car la version 8.17.0 est la dernière version de fonctionnalités |
| Exemple Bitbucket 8.9.x, car la version 8.9.0 est la dernière version de support à long terme | |
| Exemple Bitbucket 7.21.x, car la version 7.21.0 est la deuxième version de support à long terme la plus récente prise en charge | |
| Bamboo | Exemple Bamboo 9.5.x, car la version 9.5.0 est la dernière version de fonctionnalités |
| Exemple Bamboo 9.2.x, car la version 9.2.0 est la dernière version de support à long terme | |
| Crowd | Exemple Crowd 5.3.x, car la version 5.3.0 est la dernière version de fonctionnalités |
| Fisheye/Crucible | Exemple Fisheye/Crucible 4.8.x, car la version 4.8.0 est la dernière version de fonctionnalités |
Aucune autre version du produit ne bénéficierait des nouvelles corrections de bug.
Les mises à niveau fréquentes garantissent la sécurité des instances de vos produits. Nous vous recommandons de vous tenir au courant des dernières versions de correction de bug, de fonctionnalités ou de support à long terme de votre produit.
Vulnérabilités non critiques
When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.
To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.
Autres informations
Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.
We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.