Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua

Policy di correzione dei bug di sicurezza

Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.

Ambito

Questa policy descrive la tempistica e la modalità di risoluzione delle vulnerabilità di sicurezza nei nostri prodotti.

Security bug fix service level objectives (SLOs)

Atlassian stabilisce obiettivi del livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito i seguenti obiettivi di tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:

Accelerazione degli obiettivi di risoluzione

These timeframes apply to:

  • Tutti i prodotti Atlassian basati sul cloud
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Tempistiche di risoluzione estese

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Vulnerabilità critiche

Quando una vulnerabilità critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian eseguirà le seguenti azioni:

  • Per i prodotti cloud, rilasceremo il prima possibile una nuova versione corretta per il prodotto interessato.
  • Per i prodotti autogestiti, faremo quanto segue:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • Rilasceremo una versione di correzione dei bug per tutte le versioni del supporto a lungo termine (LTS) supportate del prodotto interessato, in conformità con la policy di fine vita dell'Assistenza Atlassian.

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Server and Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018

Confluence Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018

Bitbucket Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stata rilasciata il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato fornito anche un rilascio di correzione dei bug.

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere forniti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

Per Crowd, Fisheye e Crucible, forniremo un rilascio di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.

Esempi di correzioni di vulnerabilità critiche per i prodotti autogestiti:

Se la correzione di una vulnerabilità critica è stata sviluppata in data 1° febbraio 2024, di seguito sono riportati esempi di rilasci che riceverebbero la correzione dei bug:

Prodotto

Esempio

Jira Software

Esempio

Jira Software 9.13.x perché 9.13.0 è l'ultimo rilascio di funzioni

Esempio

Jira Software 9.12.x perché 9.12.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Jira Software 9.4.x perché 9.4.0 è il rilascio di supporto a lungo termine precedente

Jira Service Management

Esempio

Jira Service Management 5.13.x perché 5.13.0 è l'ultimo rilascio di funzioni

Esempio

Jira Service Management 5.12.x perché 5.12.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Jira Service Management 5.4.x perché 5.4.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Confluence

Esempio

Confluence 8.7.x perché 8.7.0 è l'ultimo rilascio di funzioni

Esempio

Confluence 8.5.x perché 8.5.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Confluence 7.19.x perché 7.19.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Bitbucket

Esempio

Bitbucket 8.17.x perché 8.17.0 è l'ultimo rilascio di funzioni

Esempio

Bitbucket 8.9.x perché 8.9.0 è l'ultimo rilascio di supporto a lungo termine

Esempio

Bitbucket 7.21.x perché 7.21.0 è il secondo ultimo rilascio di supporto a lungo termine supportato

Bamboo

Esempio

Bamboo 9.5.x perché 9.5.0 è l'ultimo rilascio di funzioni

Esempio

Bamboo 9.2.x perché 9.2.0 è l'ultimo rilascio di supporto a lungo termine

Crowd

Esempio

Crowd 5.3.x perché 5.3.0 è l'ultimo rilascio di funzioni

Fisheye/Crucible

Esempio

Fisheye/Crucible 4.8.x perché 4.8.0 è l'ultimo rilascio di funzioni

Nessun'altra versione del prodotto riceverebbe nuove correzioni dei bug.

Gli upgrade frequenti garantiscono la sicurezza delle istanze del tuo prodotto. Come best practice, suggeriamo di rimanere sull'ultima versione di correzione dei bug dell'ultimo rilascio di funzioni o dell'ultimo rilascio del supporto a lungo termine (LTS) del tuo prodotto.

Vulnerabilità non critiche

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Altre informazioni

Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i ticket di sicurezza.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

Domande frequenti

What is a shared responsibility model? Copy link to heading Copied! Mostra di più
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.
What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Mostra di più
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.
What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Mostra di più
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.
What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Mostra di più
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.
Where can I find the latest releases? Copy link to heading Copied! Mostra di più
  

You can always check the software download portal or visit the product-specific download pages.
What is a supported release? Copy link to heading Copied! Mostra di più
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.
Where I find a list of supported releases? Copy link to heading Copied! Mostra di più
  

Check out the Atlassian Data Center End of Support Policy for the most up-to-date information.
What is a vulnerability? Copy link to heading Copied! Mostra di più
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.
Cos'è una correzione dei bug di sicurezza? Copy link to heading Copied! Mostra di più
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.
Dove posso trovare ulteriori informazioni sulle vulnerabilità risolte nei prodotti Data Center? Copy link to heading Copied! Mostra di più
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.