セキュリティ バグ修正ポリシー
アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。
スコープ
このポリシーでは、製品のセキュリティの脆弱性がいつどのように解決されるかを説明しています。
セキュリティ バグ修正のサービスレベル目標 (SLO)
アトラシアンでは、セキュリティの重大度レベルと影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ課題の修正にあたり、次の目標時間枠を設定しています。
早期解決目標
この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス リリースの両方) にも適用されます。
- Critical vulnerabilities to be fixed in product within 10 days of being verified
- 脆弱性が高である製品のバグは確認後 28 日以内に修正
- Medium vulnerabilities to be fixed in product within 84 days of being verified
- 脆弱性が低である製品のバグは確認後 175 日以内に修正
延長解決期間
この目標はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンの Data Center およびモバイル アプリを含みます。
- 脆弱性がクリティカル、高、および中である製品のバグは確認後 90 日以内に修正
- 脆弱性が低である製品のバグは確認後 180 日以内に修正
重大な脆弱性
重大なセキュリティ脆弱性をアトラシアンが発見した、またはそれがサードパーティから報告された場合、アトラシアンは次のことを行います。
- クラウド製品については、影響を受ける製品の新しい修正済みリリースを可能な限り早く提供します
- オンプレミス製品については、次のことを行います。
- 影響を受けた製品の最新の機能リリースに対するバグ修正リリースを提供
- 影響を受けた製品の新しい機能リリースをリリース スケジュールに従って提供
- アトラシアンのサポート終了ポリシーに従い、影響を受けた製品のすべてのサポート対象の LTS リリースに対応するバグ修正リリースを提供
製品 | バック ポート ポリシー | 例 |
---|---|---|
Jira Software Server および Data Center Jira Core Server および Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Confluence Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Bitbucket Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Bamboo について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Crowd、Fisheye、および Crucible については、影響を受けた製品の最新の機能リリースのバグ修正リリースを提供します。
オンプレミス製品のクリティカルな脆弱性の修正の例:
クリティカルな脆弱性の修正が 2024 年 2 月 1 日に開発された場合、バグ修正を受けるリリースの例は次のようになります。
製品 | 例 |
---|---|
Jira | 例 Jira Software 9.13.x: 9.13.0 は最新の機能リリースであるため |
例 Jira Software 9.12.x: 9.12.0 は最新の長期サポート リリースであるため | |
例 Jira Software 9.4.x: 9.4.0 は前回の長期サポート リリースであるため | |
Jira Service Management | 例 Jira Service Management 5.13.x: 5.13.0 は最新の機能リリースであるため |
例 Jira Service Management 5.12.x: 5.12.0 は最新の長期サポート リリースであるため | |
例 Jira Service Management 5.4.x: 5.4.0 はサポート対象の 2 つめの最新の長期サポート リリースであるため | |
Confluence | 例 Confluence 8.7.x: 8.7.0 は最新の機能リリースであるため |
例 Confluence 8.5.x: 8.5.0 は最新の長期サポート リリースであるため | |
例 Confluence 7.19.x: 7.19.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
Bitbucket | 例 Bitbucket 8.17.x: 8.17.0 は最新の機能リリースであるため |
例 Bitbucket 8.9.x: 8.9.0 は最新の長期サポート リリースであるため | |
例 Bitbucket 7.21.x: 7.21.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
Bamboo | 例 Bamboo 9.5.x: 9.5.0 は最新の機能リリースであるため |
例 Bamboo 9.2.x: 9.2.0 は最新の長期サポート リリースであるため | |
Crowd | 例 Crowd 5.3.x: 5.3.0 は最新の機能リリースであるため |
Fisheye/Crucible | 例 Fisheye/Crucible 4.8.x: 4.8.0 は最新の機能リリースであるため |
他の製品バージョンに対する新しいバグ修正は提供されません。
頻繁にアップグレードすることで、製品インスタンスの安全性が確保されます。ベスト プラクティスとして、製品の最新の機能リリースまたは LTS リリースの最新のバグ修正リリースを利用し続けることをおすすめします。
緊急度の低い脆弱性
重大度が高、中、低のセキュリティ課題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期サポート リリースにもバックポートされる可能性があります。バックポートが実現可能かどうかは、複雑な依存関係、アーキテクチャの変更、互換性などの要因によって決定されます。
バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。
その他の情報
脆弱性の重大度レベルは、セキュリティ課題の重大度レベルに基づいて計算されます。
アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、アップデートまたは変更があった場合はこちらのページでご案内します。