Close

セキュリティ バグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。


スコープ

このポリシーでは、製品のセキュリティの脆弱性がいつどのように解決されるかを説明しています。

セキュリティ バグ修正のサービスレベル目標 (SLO)

アトラシアンでは、セキュリティの重大度レベルと影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ課題の修正にあたり、次の目標時間枠を設定しています。

早期解決目標

この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス リリースの両方) にも適用されます。

  • Critical vulnerabilities to be fixed in product within 10 days of being verified
  • 脆弱性がである製品のバグは確認後 28 日以内に修正
  • Medium vulnerabilities to be fixed in product within 84 days of being verified
  • 脆弱性がである製品のバグは確認後 175 日以内に修正

延長解決期間

この目標はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンの Data Center およびモバイル アプリを含みます。

  • 脆弱性がクリティカル、およびである製品のバグは確認後 90 日以内に修正
  • 脆弱性がである製品のバグは確認後 180 日以内に修正

重大な脆弱性

重大なセキュリティ脆弱性をアトラシアンが発見した、またはそれがサードパーティから報告された場合、アトラシアンは次のことを行います。

  • クラウド製品については、影響を受ける製品の新しい修正済みリリースを可能な限り早く提供します
  • オンプレミス製品については、次のことを行います。
    • 影響を受けた製品の最新の機能リリースに対するバグ修正リリースを提供
    • 影響を受けた製品の新しい機能リリースをリリース スケジュールに従って提供
    • アトラシアンのサポート終了ポリシーに従い、影響を受けた製品のすべてのサポート対象の LTS リリースに対応するバグ修正リリースを提供

製品
バック ポート ポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Management Server および Data Center (旧称 Jira Service Desk)

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x: 7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。

Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x: 6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。

Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。

他のすべての製品 (BambooCrucibleFisheye など)

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が以前のリリースであるため

Crowd、Fisheye、および Crucible については、影響を受けた製品の最新の機能リリースのバグ修正リリースを提供します。

オンプレミス製品のクリティカルな脆弱性の修正の例:

クリティカルな脆弱性の修正が 2024 年 2 月 1 日に開発された場合、バグ修正を受けるリリースの例は次のようになります。

製品

Jira

Jira Software 9.13.x: 9.13.0 は最新の機能リリースであるため

Jira Software 9.12.x: 9.12.0 は最新の長期サポート リリースであるため

Jira Software 9.4.x: 9.4.0 は前回の長期サポート リリースであるため

Jira Service Management

Jira Service Management 5.13.x: 5.13.0 は最新の機能リリースであるため

Jira Service Management 5.12.x: 5.12.0 は最新の長期サポート リリースであるため

Jira Service Management 5.4.x: 5.4.0 はサポート対象の 2 つめの最新の長期サポート リリースであるため

Confluence

Confluence 8.7.x: 8.7.0 は最新の機能リリースであるため

Confluence 8.5.x: 8.5.0 は最新の長期サポート リリースであるため

Confluence 7.19.x: 7.19.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため

Bitbucket

Bitbucket 8.17.x: 8.17.0 は最新の機能リリースであるため

Bitbucket 8.9.x: 8.9.0 は最新の長期サポート リリースであるため

Bitbucket 7.21.x: 7.21.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため

Bamboo

Bamboo 9.5.x: 9.5.0 は最新の機能リリースであるため

Bamboo 9.2.x: 9.2.0 は最新の長期サポート リリースであるため

Crowd

Crowd 5.3.x: 5.3.0 は最新の機能リリースであるため

Fisheye/Crucible

Fisheye/Crucible 4.8.x: 4.8.0 は最新の機能リリースであるため

他の製品バージョンに対する新しいバグ修正は提供されません。

頻繁にアップグレードすることで、製品インスタンスの安全性が確保されます。ベスト プラクティスとして、製品の最新の機能リリースまたは LTS リリースの最新のバグ修正リリースを利用し続けることをおすすめします。

緊急度の低い脆弱性

重大度が高、中、低のセキュリティ課題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期サポート リリースにもバックポートされる可能性があります。バックポートが実現可能かどうかは、複雑な依存関係、アーキテクチャの変更、互換性などの要因によって決定されます。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ課題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、アップデートまたは変更があった場合はこちらのページでご案内します。

FAQ

セキュリティ バグ修正とは何ですか? Copy link to heading Copied! 回答を表示 +
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that could potentially be exploited by hackers. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

脆弱性とは何ですか? Copy link to heading Copied! 回答を表示 +
  

脆弱性とは、脅威やリスクによって悪用される可能性のある弱点や欠陥を指します。サイバーセキュリティの文脈における脆弱性としては、権限のないユーザーがアクセスして損害を与えることのできる、ソフトウェア、ネットワーク、またはシステムの欠陥が考えられます。これには、古いソフトウェア、脆弱なパスワード、データ暗号化の欠如などが含まれます。

Data Center 製品で修正済みの脆弱性の詳細はどこで確認できますか? Copy link to heading Copied! 回答を表示 +
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It is updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.

長期サポート リリースとは何ですか? Copy link to heading Copied! 回答を表示 +
  

長期サポート リリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Data Center のお客様用のリリースです。一部の製品では特定のバージョンを長期サポート リリースとして指定しており、この場合、丸 2 年間のセキュリティ バグ修正サポートが提供されます。

機能リリースとは何ですか? Copy link to heading Copied! 回答を表示 +
  

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、長期サポート リリースに指定されていないバージョン (例: Jira Software 9.11) を指します。アトラシアンのバグ修正ポリシーの詳細をご確認ください。