Close

Policy di correzione dei bug di sicurezza

Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.


Ambito

Questa policy descrive la tempistica e la modalità di risoluzione delle vulnerabilità di sicurezza nei nostri prodotti.

Obiettivi del livello di servizio (SLO) per le correzioni dei bug relativi alla sicurezza

Atlassian stabilisce obiettivi del livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito i seguenti obiettivi di tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:

Accelerazione degli obiettivi di risoluzione

Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian. Si applicano anche a Jira Align (sia il rilascio cloud sia il rilascio autogestito).

  • Critical vulnerabilities to be fixed in product within 10 days of being verified
  • Le vulnerabilità con livello di gravità elevato devono essere corrette nel prodotto entro 28 giorni dalla verifica.
  • Medium vulnerabilities to be fixed in product within 84 days of being verified
  • Le vulnerabilità con livello di gravità basso devono essere corrette nel prodotto entro 175 giorni dalla verifica.

Tempistiche di risoluzione estese

Questi obiettivi di tempistiche si applicano a tutti i prodotti Atlassian autogestiti. Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include app Data Center e mobili di Atlassian.

  • Le vulnerabilità con livello di gravità critico, elevato e medio devono essere corrette nel prodotto entro 90 giorni dalla verifica.
  • Le vulnerabilità con livello di gravità basso devono essere corrette nel prodotto entro 180 giorni dalla verifica.

Vulnerabilità critiche

Quando una vulnerabilità critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian eseguirà le seguenti azioni:

  • Per i prodotti cloud, rilasceremo il prima possibile una nuova versione corretta per il prodotto interessato.
  • Per i prodotti autogestiti, faremo quanto segue:
    • Rilasceremo una versione di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.
    • Invieremo un nuovo rilascio di funzioni per il prodotto interessato secondo i tempi di rilascio
    • Rilasceremo una versione di correzione dei bug per tutte le versioni del supporto a lungo termine (LTS) supportate del prodotto interessato, in conformità con la policy di fine vita dell'Assistenza Atlassian.

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018

Confluence Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018

Bitbucket Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stata rilasciata il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato fornito anche un rilascio di correzione dei bug.

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere forniti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

Per Crowd, Fisheye e Crucible, forniremo un rilascio di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.

Esempi di correzioni di vulnerabilità critiche per i prodotti autogestiti:

Se la correzione di una vulnerabilità critica è stata sviluppata in data 1° febbraio 2024, di seguito sono riportati esempi di rilasci che riceverebbero la correzione dei bug:

Prodotto

Esempio

Jira Software

Esempio

Jira Software 9.13.x perché 9.13.0 è l'ultimo rilascio di funzioni

Esempio

Jira Software 9.12.x perché 9.12.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Jira Software 9.4.x perché 9.4.0 è il rilascio di supporto a lungo termine precedente

Jira Service Management

Esempio

Jira Service Management 5.13.x perché 5.13.0 è l'ultimo rilascio di funzioni

Esempio

Jira Service Management 5.12.x perché 5.12.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Jira Service Management 5.4.x perché 5.4.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Confluence

Esempio

Confluence 8.7.x perché 8.7.0 è l'ultimo rilascio di funzioni

Esempio

Confluence 8.5.x perché 8.5.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Confluence 7.19.x perché 7.19.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Bitbucket

Esempio

Bitbucket 8.17.x perché 8.17.0 è l'ultimo rilascio di funzioni

Esempio

Bitbucket 8.9.x perché 8.9.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Bitbucket 7.21.x perché 7.21.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Bamboo

Esempio

Bamboo 9.5.x perché 9.5.0 è l'ultimo rilascio di funzioni

Esempio

Bamboo 9.2.x perché 9.2.0 è l'ultimo rilascio di supporto a lungo termine

Crowd

Esempio

Crowd 5.3.x perché 5.3.0 è l'ultimo rilascio di funzioni

Fisheye/Crucible

Esempio

Fisheye/Crucible 4.8.x perché 4.8.0 è l'ultimo rilascio di funzioni

Nessun'altra versione del prodotto riceverebbe nuove correzioni dei bug.

Gli upgrade frequenti garantiscono la sicurezza delle istanze del tuo prodotto. Come best practice, suggeriamo di rimanere sull'ultima versione di correzione dei bug dell'ultimo rilascio di funzioni o dell'ultimo rilascio del supporto a lungo termine (LTS) del tuo prodotto.

Vulnerabilità non critiche

Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione all'interno degli obiettivi del livello di servizio elencati all'inizio di questo documento. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile. La fattibilità del backport dipende da dipendenze complesse, modifiche architettoniche e compatibilità, tra gli altri fattori.

È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.

Altre informazioni

Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i ticket di sicurezza.

Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.

Domande frequenti

Cos'è una correzione dei bug di sicurezza? Copy link to heading Copied! Mostra di più
  

Una correzione dei bug di sicurezza è un insieme di modifiche apportate a un sistema o a un'applicazione per risolvere vulnerabilità che potrebbero essere sfruttate dagli hacker. Queste vulnerabilità, note anche come bug di sicurezza, potrebbero causare accessi non autorizzati, furti di dati o altre attività dannose.

Cos'è la vulnerabilità? Copy link to heading Copied! Mostra di più
  

Per vulnerabilità si intende una debolezza o un difetto che possono essere sfruttati da una minaccia o da un rischio. Nel contesto della sicurezza informatica, una vulnerabilità può essere un difetto in un software, in una rete o in un sistema che consente a utenti non autorizzati di ottenere l'accesso e causare danni. Alcuni esempi possono essere software obsoleti, password deboli o crittografia dei dati mancante.

Dove posso trovare ulteriori informazioni sulle vulnerabilità risolte nei prodotti Data Center? Copy link to heading Copied! Mostra di più
  

Atlassian pubblica avvisi di sicurezza con cadenza mensile e fornisce l'accesso al portale di divulgazione delle vulnerabilità. Il portale di divulgazione delle vulnerabilità è un hub centrale dove si possono trovare informazioni sulle vulnerabilità divulgate presenti in tutti i nostri prodotti. Il portale viene aggiornato mensilmente con il rilascio dei bollettini di sicurezza e fornisce un modo semplice per cercare e accedere ai dati dei bollettini precedenti.

Che cosa si intende per "rilascio di supporto a lungo termine"? Copy link to heading Copied! Mostra di più
  

I rilasci di supporto a lungo termine sono destinati ai clienti Data Center che preferiscono avere più tempo a disposizione per prepararsi agli aggiornamenti alle nuove versioni delle funzioni, ma che hanno comunque la necessità di ricevere le correzioni di bug. Per alcuni prodotti verrà designata una versione specifica come rilascio di supporto a lungo termine, il che significa che le correzioni di bug di sicurezza saranno rese disponibili per l'intera finestra di supporto di 2 anni.

Cosa si intende per "rilascio di funzioni"? Copy link to heading Copied! Mostra di più
  

Un rilascio di funzioni è una versione (ad esempio Jira Software 9.11) che contiene nuove funzioni o modifiche importanti alle funzioni esistenti, ma che non è stata designata come rilascio di supporto a lungo termine. Scopri di più sulla Policy di correzione dei bug di Atlassian.