Policy di correzione dei bug di sicurezza
Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.
Ambito
Questa policy descrive la tempistica e la modalità di risoluzione delle vulnerabilità di sicurezza nei nostri prodotti.
Obiettivi del livello di servizio (SLO) per le correzioni dei bug relativi alla sicurezza
Atlassian stabilisce obiettivi del livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito i seguenti obiettivi di tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:
Accelerazione degli obiettivi di risoluzione
Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian. Si applicano anche a Jira Align (sia il rilascio cloud sia il rilascio autogestito).
- Critical vulnerabilities to be fixed in product within 10 days of being verified
- Le vulnerabilità con livello di gravità elevato devono essere corrette nel prodotto entro 28 giorni dalla verifica.
- Medium vulnerabilities to be fixed in product within 84 days of being verified
- Le vulnerabilità con livello di gravità basso devono essere corrette nel prodotto entro 175 giorni dalla verifica.
Tempistiche di risoluzione estese
Questi obiettivi di tempistiche si applicano a tutti i prodotti Atlassian autogestiti. Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include app Data Center e mobili di Atlassian.
- Le vulnerabilità con livello di gravità critico, elevato e medio devono essere corrette nel prodotto entro 90 giorni dalla verifica.
- Le vulnerabilità con livello di gravità basso devono essere corrette nel prodotto entro 180 giorni dalla verifica.
Vulnerabilità critiche
Quando una vulnerabilità critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian eseguirà le seguenti azioni:
- Per i prodotti cloud, rilasceremo il prima possibile una nuova versione corretta per il prodotto interessato.
- Per i prodotti autogestiti, faremo quanto segue:
- Rilasceremo una versione di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.
- Invieremo un nuovo rilascio di funzioni per il prodotto interessato secondo i tempi di rilascio
- Rilasceremo una versione di correzione dei bug per tutte le versioni del supporto a lungo termine (LTS) supportate del prodotto interessato, in conformità con la policy di fine vita dell'Assistenza Atlassian.
Prodotto | Policy sul backport | Esempio |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center (in precedenza Jira Service Desk) | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Confluence Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Bitbucket Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
Bitbucket 6.3.0 è stata rilasciata il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato fornito anche un rilascio di correzione dei bug. |
Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente. | Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere forniti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Per Crowd, Fisheye e Crucible, forniremo un rilascio di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.
Esempi di correzioni di vulnerabilità critiche per i prodotti autogestiti:
Se la correzione di una vulnerabilità critica è stata sviluppata in data 1° febbraio 2024, di seguito sono riportati esempi di rilasci che riceverebbero la correzione dei bug:
Prodotto | Esempio |
---|---|
Jira Software | Esempio Jira Software 9.13.x perché 9.13.0 è l'ultimo rilascio di funzioni |
Esempio Jira Software 9.12.x perché 9.12.0 è l'ultimo rilascio di supporto a lungo termine | |
Esempio Jira Software 9.4.x perché 9.4.0 è il rilascio di supporto a lungo termine precedente | |
Jira Service Management | Esempio Jira Service Management 5.13.x perché 5.13.0 è l'ultimo rilascio di funzioni |
Esempio Jira Service Management 5.12.x perché 5.12.0 è l'ultimo rilascio di supporto a lungo termine | |
Esempio Jira Service Management 5.4.x perché 5.4.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
Confluence | Esempio Confluence 8.7.x perché 8.7.0 è l'ultimo rilascio di funzioni |
Esempio Confluence 8.5.x perché 8.5.0 è l'ultimo rilascio di supporto a lungo termine | |
Esempio Confluence 7.19.x perché 7.19.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
Bitbucket | Esempio Bitbucket 8.17.x perché 8.17.0 è l'ultimo rilascio di funzioni |
Esempio Bitbucket 8.9.x perché 8.9.0 è l'ultimo rilascio di supporto a lungo termine | |
Esempio Bitbucket 7.21.x perché 7.21.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
Bamboo | Esempio Bamboo 9.5.x perché 9.5.0 è l'ultimo rilascio di funzioni |
Esempio Bamboo 9.2.x perché 9.2.0 è l'ultimo rilascio di supporto a lungo termine | |
Crowd | Esempio Crowd 5.3.x perché 5.3.0 è l'ultimo rilascio di funzioni |
Fisheye/Crucible | Esempio Fisheye/Crucible 4.8.x perché 4.8.0 è l'ultimo rilascio di funzioni |
Nessun'altra versione del prodotto riceverebbe nuove correzioni dei bug.
Gli upgrade frequenti garantiscono la sicurezza delle istanze del tuo prodotto. Come best practice, suggeriamo di rimanere sull'ultima versione di correzione dei bug dell'ultimo rilascio di funzioni o dell'ultimo rilascio del supporto a lungo termine (LTS) del tuo prodotto.
Vulnerabilità non critiche
Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione all'interno degli obiettivi del livello di servizio elencati all'inizio di questo documento. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile. La fattibilità del backport dipende da dipendenze complesse, modifiche architettoniche e compatibilità, tra gli altri fattori.
È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.
Altre informazioni
Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i ticket di sicurezza.
Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.