Segnala una vulnerabilità
Se ritieni di aver riscontrato un problema di sicurezza che rientra nell'ambito della definizione di vulnerabilità di Atlassian, invia una segnalazione al nostro team di sicurezza tramite uno dei seguenti metodi.
Non siamo in grado di rispondere ai report collettivi generati da scanner automatici. Se si identificano problemi utilizzando uno scanner automatico, è consigliabile che un addetto alla sicurezza riesamini i problemi e verifichi la validità dei rilievi prima di inviare un report di vulnerabilità ad Atlassian.
Se sei un cliente:
- Invia un ticket al nostro team di assistenza
Se sei un ricercatore di sicurezza:
- Invia un report tramite il nostro programma Bug Bounty oppure
- Invia un'e-mail all'indirizzo security@atlassian.com
Solo le vulnerabilità inviate tramite il nostro programma Bug Bounty sono idonee a ricevere il pagamento previsto dal programma.
Includi le informazioni seguenti nel report:
- Tipo di problema (Cross-site Scripting, SQL Injection, esecuzione di codice remoto e così via).
- Prodotto e versione con il bug o un URL se si tratta di un servizio cloud.
- Potenziale impatto della vulnerabilità (ad es. a quali dati è possibile accedere o quali dati possono essere modificati).
- Istruzioni dettagliate per riprodurre il problema.
- Qualsiasi modello di verifica o exploit necessario per riprodurre il problema.
Se desideri utilizzare la nostra chiave PGP per crittografare la richiesta, scaricala qui.
Definizione di vulnerabilità
Atlassian ritiene che una vulnerabilità della sicurezza in uno dei prodotti o nell'infrastruttura sia un punto debole che potrebbe consentire a un aggressore di compromettere la riservatezza, l'integrità o la disponibilità del prodotto o dell'infrastruttura.
Non consideriamo vulnerabilità della sicurezza i seguenti tipi di rilievi:
- Presenza o assenza di intestazioni HTTP (X-Frame-Options, CSP, nosniff e così via). Queste sono considerate best practice di sicurezza e pertanto non le classifichiamo come vulnerabilità.
- Attributi correlati alla sicurezza mancanti in cookie non sensibili. I prodotti Atlassian possono impostare determinati attributi di sicurezza nei cookie utilizzati nelle applicazioni. L'assenza di queste intestazioni in cookie non sensibili non è considerata una vulnerabilità della sicurezza.
- Tracce di stack esposte. Di per sé non consideriamo le tracce di stack come un problema di sicurezza. Se noti che una traccia di stack fornisce informazioni di identificazione personale o contenuti generati dall'utente, invia un report con la descrizione dettagliata del problema.
- Spoofing di contenuti da parte di utenti amministrativi. Consentiamo agli amministratori di inserire HTML in aree specifiche dei nostri prodotti per esigenze di personalizzazione e non consideriamo tale funzionalità come una vulnerabilità.
- Utilizzare tecniche di clickjacking nelle pagine di Jira Server o in pagine che includono solo contenuti statici. Per maggiori dettagli, vedi https://jira.atlassian.com/browse/JRASERVER-25143.
- Completamento automatico abilitato o disabilitato
Divulgazione pubblica
Qui in Atlassian, uno dei nostri valori fondamentali è "Promuovi un'azienda aperta, non solo a parole" e pensiamo che la divulgazione delle vulnerabilità sia parte di questo valore. Ci atteniamo agli obiettivi del livello di servizio per la correzione dei bug di sicurezza, disponibili qui, e accetteremo le richieste di divulgazione nel programma Bug Bounty dopo che il problema è stato risolto e rilasciato in produzione. Tuttavia, se il report contiene informazioni riguardanti istanze o dati sui clienti, la richiesta verrà rifiutata. Ti chiediamo di darci un ragionevole preavviso e di attendere che l'SLO associato sia passato. Tieni presente che non forniamo premi per l'invio tramite e-mail. Se stai cercando il nostro programma Bug Bounty, vai qui.
Porto sicuro
Quando conduciamo una ricerca delle vulnerabilità in base a questa policy, consideriamo tale ricerca:
- autorizzata conformemente al Computer Fraud and Abuse Act (CFAA) (e/o a leggi statali simili), e non avvieremo né supporteremo azioni legali contro di te per violazioni accidentali e in buona fede di tale policy;
- esente dal Digital Millennium Copyright Act (DMCA), e non presenteremo reclami contro di te per elusione dei controlli tecnologici;
- esente dalle restrizioni contenute nei nostri Termini e Condizioni che interferirebbero con la conduzione di ricerche sulla sicurezza, e rinunciamo a tali restrizioni su base limitata per il lavoro svolto nell'ambito di tale policy; e
- legittima, utile alla sicurezza generale di Internet e condotta in buona fede.
Ci si aspetta, come sempre, che tu rispetti tutte le leggi applicabili.
Se hai qualche dubbio o non sei sicuro che la tua ricerca sulla sicurezza sia conforme a questa policy, contattaci all'indirizzo security@atlassian.com e saremo lieti di rispondere alle tue domande.
Programma Bug Bounty
Atlassian gestisce il programma pubblico Bug Bounty per i propri prodotti tramite il partner Bugcrowd. I ricercatori di sicurezza possono ricevere pagamenti in contanti in cambio di un report sulle vulnerabilità idonee inviato ad Atlassian tramite i programmi bounty.
Divulgazione pubblica
Per Atlassian è una priorità risolvere qualsiasi vulnerabilità della sicurezza presente nei propri prodotti nei tempi indicati nella propria Policy per la correzione dei bug relativi alla sicurezza. Atlassian segue un processo coordinato di divulgazione delle vulnerabilità e, per proteggere i clienti, esige che chiunque segnali una vulnerabilità faccia la stessa cosa.