脆弱性を報告する
アトラシアンの脆弱性の定義に該当するセキュリティの問題を見つけたと思われる場合は、以下の方法によって当社のセキュリティ チームにレポートを提出してください。
アトラシアンは、自動スキャナーにより生成された一括レポートには対応できません。自動スキャナーを使用して問題を特定する場合、脆弱性レポートをアトラシアンに提出する前に、セキュリティ担当者がその問題を見直し、結果が有効であることを確認するようお勧めします。
お客様:
- 当社のサポートチームにチケットを提出
セキュリティ調査員:
- 当社のバグ報奨金プログラムを通じてレポートを提出、または
- security@atlassian.com にメールを送信
当社のバグ報奨金プログラムを通じて提出された脆弱性のみが報奨金の対象となります。
レポートには以下の情報を含めてください。
- 問題のタイプ (Cross-site Scripting、SQL Injection、リモートコード実行など)
- バグが見つかった製品とバージョン、またはクラウドサービスの場合は URL
- 脆弱性の潜在的な影響 (アクセスまたは修正可能なデータなど)
- 問題を再現するステップバイステップの手順
- 再現するために必要な、概念実証またはエクスプロイトコード
当社の PGP キーを使用して提出を暗号化する場合は、こちらからダウンロードしてください。
脆弱性の定義
アトラシアンでは、セキュリティの脆弱性を、攻撃者が当社の製品やインフラストラクチャの機密性、完全性、または可用性に影響を及ぼす可能性がある、製品またはインフラストラクチャにおける弱点と見なしています。
以下のタイプの所見は、セキュリティの脆弱性とは見なしていません。
- HTTP ヘッダー (X-Frame-Options、CSP、nosniff など) の有無。これらはセキュリティのベストプラクティスと見なされているため、当社では脆弱性に分類しません。
- 非機密性のクッキーでのセキュリティ関連要素の欠落。アトラシアン製品では、アプリケーションで使用されるクッキーに特定のセキュリティ関連要素が設定されます。非機密性クッキーでこれらのヘッダーが未設定であっても、セキュリティの脆弱性とは見なされません。
- スタックトレースの情報漏れ。アトラシアンは、スタックトレース自体をセキュリティの問題とは見なしません。スタックトレースに個人を特定できる情報またはユーザーが生成したコンテンツが含まれているのを見つけた場合は、問題の詳細についてレポートを提出してください。
- 管理ユーザーによるコンテンツスプーフィング。アトラシアンでは、管理者が当社の製品の特定の領域に対して HTML インジェクションを行うことをカスタマイズ機能として許可しているため、この機能を脆弱性とは見なしません。
- オートコンプリートの有効化または無効化
公開
アトラシアンの価値観の 1 つは、「オープンな企業文化、デタラメは無し」であり、脆弱性開示はその価値観の一部であると考えています。アトラシアンは、ここに記載されているセキュリティ・バグ修正のサービスレベル目標を遵守しており、課題が修正され、本番環境でリリースされたに後、バグ報奨金プログラムを通じて開示リクエストを受け付けます。ただし、レポートに顧客のインスタンスまたはデータに関する情報が含まれている場合、リクエストは却下されます。当社に妥当な通知を行い、関連する SLO を通過するまでお待ちいただくようお願いいたします。メールによる提出には報酬は提供されないことに注意してください。アトラシアンのバグ報奨金プログラムについて詳しくは、こちらをご覧ください。
セーフ・ハーバー
この方針に従って脆弱性調査を実施する場合、調査は次のようなものと見なされます。
- コンピューター詐欺および悪用に関する法律(CFAA)(および/または同様の州法)に従って認可されており、このポリシーへのお客様の偶発的なグッド・フェイス違反に対して、訴訟を開始または支持するものではありません。
- デジタル・ミレニアム著作権法(DMCA)の対象外であり、技術統制の回避をお客様に請求することはありません。
- セキュリティ調査の実施を妨げるような当社の利用規約の制限は免除されます。また、このポリシーに基づいて行われる作業について、制限を限定的に放棄します。
- 合法かつインターネット全体のセキュリティに役立つものとして、誠意を持って行われます。
お客様は通常どおり、適用法をすべて遵守するものと期待されています。
懸念がある場合や、セキュリティ調査がこのポリシーに沿ったものかどうか不明な場合は、security@atlassian.com までご連絡ください。いつでも質問にお答えします。
バグ報奨金プログラム
アトラシアンは、パートナーである Bugcrowd を通して当社製品に対する公開バグ報奨金プログラムを運用しています。セキュリティ調査員が当社の報奨金プログラムを通じてアトラシアンに要件を満たす脆弱性レポートを提出すると、現金での支払いを受けられます。
公開
アトラシアンは当社製品のセキュリティ脆弱性をセキュリティバグ修正ポリシーで特定している時間枠内に解決することを優先目標としています。アトラシアンは CVD (Coordinated Vulnerability Disclosure) を遵守しており、お客様を保護するために、脆弱性を当社に報告してくださる関係者にも同様に CVD の遵守を要請しています。