Signaler des vulnérabilités
Si vous pensez avoir identifié un problème de sécurité qui correspond à la définition d'une vulnérabilité selon Atlassian, veuillez soumettre le rapport à notre équipe de sécurité de l'une des façons suivantes.
Nous ne sommes pas en mesure de répondre aux rapports groupés générés par des dispositifs d'analyse automatisés. Si vous identifiez des problèmes à l'aide d'un dispositif d'analyse automatisé, nous vous recommandons de demander à un expert en sécurité d'examiner ces problèmes et de s'assurer que les conclusions sont valables avant de soumettre un rapport de vulnérabilité à Atlassian.
Si vous êtes client :
- soumettez un ticket à notre équipe de support.
Si vous êtes chercheur en sécurité :
- soumettez un rapport par l'intermédiaire de notre programme Bug Bounty ; ou
- écrivez un e-mail à l'adresse : security@atlassian.com.
Seules les vulnérabilités soumises par le biais de notre programme Bug Bounty sont éligibles à une prime.
Veuillez inclure les informations suivantes dans votre rapport :
- Le type de problème (Cross-site Scripting, SQL Injection, exécution de code arbitraire [RCE], etc.)
- Le produit et la version contenant le bug ou une URL s'il s'agit d'un service cloud
- L'impact potentiel de la vulnérabilité (c.-à-d., les données accessibles ou modifiées)
- Des instructions détaillées pour reproduire le problème
- La démonstration de faisabilité ou le code d'exploitation nécessaire à la reproduction du problème
Si vous souhaitez chiffrer votre soumission avec notre clé PGP, vous pouvez la télécharger ici.
Définition d'une vulnérabilité
Atlassian considère une vulnérabilité ou faille de sécurité comme une faiblesse dans l'un de ses produits ou dans son infrastructure susceptible de permettre à un attaquant de nuire à la confidentialité, à l'intégrité ou la disponibilité du produit ou de l'infrastructure.
Nous ne considérons pas les types de découvertes suivants comme des failles de sécurité :
- Présence ou absence d'en-têtes HTTP (X-Frame-Options, CSP, nosniff, etc.). Il s'agit de bonnes pratiques de sécurité. Par conséquent, nous ne les classifions pas comme des vulnérabilités.
- Attributs de sécurité manquants dans les cookies non sensibles. Les produits Atlassian peuvent définir certains attributs de sécurité dans les cookies utilisés dans nos apps. L'absence de ces en-têtes dans les cookies non sensibles n'est pas considérée comme une faille de sécurité.
- Traces de pile exposées. Nous ne considérons pas les traces de pile en elles-mêmes comme un problème de sécurité. Si vous trouvez une trace de pile détaillant des informations personnelles identifiables ou du contenu généré par l'utilisateur, veuillez soumettre un rapport expliquant le problème.
- Spoofing de contenu par les utilisateurs administrateurs. Nous autorisons les administrateurs à injecter du contenu HTML dans des zones spécifiques de certains produits comme une fonctionnalité de personnalisation et ne considérons pas cela comme une vulnérabilité.
- Clickjacking sur les pages Jira Server ou sur les pages qui ne contiennent que du contenu statique. Pour en savoir plus, reportez-vous à l'article https://jira.atlassian.com/browse/JRASERVER-25143.
- Activation ou désactivation de la saisie automatique
Divulgation publique
Chez Atlassian, l'une de nos valeurs est « Oui à la transparence, non au baratin » et nous sommes convaincus que la divulgation des vulnérabilités en fait partie. Nous respectons les objectifs de niveau de service liés aux corrections de bugs de sécurité, que vous trouverez ici, et nous accepterons les demandes de divulgation dans le programme Bug Bounty une fois le problème résolu et le correctif déployé en production. Cependant, si le rapport contient des informations concernant une instance ou les données d'un client, la demande sera rejetée. Nous vous demandons de nous accorder un préavis raisonnable et d'attendre que le SLO associé soit passé. Remarque : nous n'offrons pas de récompenses pour les envois par e-mail. Si vous cherchez notre programme Bug Bounty, accédez ici.
Dispositions refuges
Conformément à cette politique, lorsque nous menons des recherches sur des vulnérabilités, nous considérons ces recherches comme :
- autorisées conformément à la Computer Fraud and Abuse Act (CFAA) (et/ou à d'autres lois nationales similaires), et nous n'engagerons ni n'appuierons aucune action en justice contre vous pour toute violation accidentelle et de bonne foi de cette politique ;
- exemptées de la Digital Millennium Copyright Act (DMCA), et nous n'intenterons aucune action contre vous pour contournement des contrôles technologiques ;
- exemptées des restrictions prévues dans nos Conditions générales susceptibles d'interférer avec la conduite de recherches en matière de sécurité, et nous renonçons à ces restrictions de manière limitée pour le travail effectué dans le cadre de cette politique ; et
- légales, utiles à la sécurité générale d'Internet et menées de bonne foi.
Comme toujours, vous devez vous conformer à toutes les lois applicables.
À tout moment, si la conformité de vos recherches en matière de sécurité avec la présente politique vous préoccupe ou soulève des incertitudes, n'hésitez pas à nous contacter à l'adresse security@atlassian.com, et nous serons ravis de répondre à vos questions.
Programme Bug Bounty
Atlassian exploite un programme Bug Bounty public pour ses produits par le biais de son partenaire, Bugcrowd. Les chercheurs en sécurité peuvent être payés en échange de la soumission à Atlassian de rapports de vulnérabilité éligibles par l'intermédiaire des programmes de primes.
Divulgation publique
Atlassian se fixe pour priorité de résoudre toute faille de sécurité dans ses produits dans les délais identifiés dans sa politique de correction des bugs de sécurité. Atlassian suit un processus coordonné de divulgation des vulnérabilités et exige, pour la protection de ses clients, que toute personne signalant une vulnérabilité en fasse de même.