セキュリティ バグ修正ポリシー
アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。
スコープ
このポリシーでは、製品のセキュリティの脆弱性がいつどのように解決されるかを説明しています。
Security bug fix service level objectives (SLOs)
アトラシアンでは、セキュリティの重大度レベルと影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ課題の修正にあたり、次の目標時間枠を設定しています。
早期解決目標
These timeframes apply to:
- すべてのクラウドベースのアトラシアン製品
- Any software or system managed by Atlassian
- Any software or system running on Atlassian infrastructure
- Jira Align, cloud and self-managed releases
Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:
- Critical - 14 days
- High - 28 days
- Medium - 42 days
- Low - 175 days
延長解決期間
These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.
- Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
- Low severity vulnerabilities to be fixed in a product within 180 days of being verified
共同責任モデル
While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:
- Operating Atlassian software on private networks.
- リリースされたセキュリティ修正のタイムリーな実装。
- Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
- 暗号化とアクセス制御の実装。
- 定期的なバックアップの実行。
- 定期的なセキュリティ監査の実施。
重大な脆弱性
重大なセキュリティ脆弱性をアトラシアンが発見した、またはそれがサードパーティから報告された場合、アトラシアンは次のことを行います。
- クラウド製品については、影響を受ける製品の新しい修正済みリリースを可能な限り早く提供します
- オンプレミス製品については、次のことを行います。
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- アトラシアンのサポート終了ポリシーに従い、影響を受けた製品のすべてのサポート対象の LTS リリースに対応するバグ修正リリースを提供
製品 | バック ポート ポリシー | 例 |
|---|---|---|
| Jira Software Server および Data Center Jira Server and Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
| Confluence Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
| Bitbucket Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
| これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Bamboo について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Crowd、Fisheye、および Crucible については、影響を受けた製品の最新の機能リリースのバグ修正リリースを提供します。
オンプレミス製品のクリティカルな脆弱性の修正の例:
クリティカルな脆弱性の修正が 2024 年 2 月 1 日に開発された場合、バグ修正を受けるリリースの例は次のようになります。
製品 | 例 |
|---|---|
| Jira | 例 Jira Software 9.13.x: 9.13.0 は最新の機能リリースであるため |
| 例 Jira Software 9.12.x: 9.12.0 は最新の長期サポート リリースであるため | |
| 例 Jira Software 9.4.x: 9.4.0 は前回の長期サポート リリースであるため | |
| Jira Service Management | 例 Jira Service Management 5.13.x: 5.13.0 は最新の機能リリースであるため |
| 例 Jira Service Management 5.12.x: 5.12.0 は最新の長期サポート リリースであるため | |
| 例 Jira Service Management 5.4.x: 5.4.0 はサポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Confluence | 例 Confluence 8.7.x: 8.7.0 は最新の機能リリースであるため |
| 例 Confluence 8.5.x: 8.5.0 は最新の長期サポート リリースであるため | |
| 例 Confluence 7.19.x: 7.19.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Bitbucket | 例 Bitbucket 8.17.x: 8.17.0 は最新の機能リリースであるため |
| 例 Bitbucket 8.9.x: 8.9.0 は最新の長期サポート リリースであるため | |
| 例 Bitbucket 7.21.x: 7.21.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Bamboo | 例 Bamboo 9.5.x: 9.5.0 は最新の機能リリースであるため |
| 例 Bamboo 9.2.x: 9.2.0 は最新の長期サポート リリースであるため | |
| Crowd | 例 Crowd 5.3.x: 5.3.0 は最新の機能リリースであるため |
| Fisheye/Crucible | 例 Fisheye/Crucible 4.8.x: 4.8.0 は最新の機能リリースであるため |
他の製品バージョンに対する新しいバグ修正は提供されません。
頻繁にアップグレードすることで、製品インスタンスの安全性が確保されます。ベスト プラクティスとして、製品の最新の機能リリースまたは LTS リリースの最新のバグ修正リリースを利用し続けることをおすすめします。
緊急度の低い脆弱性
When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.
To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.
その他の情報
脆弱性の重大度レベルは、セキュリティ課題の重大度レベルに基づいて計算されます。
We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.