보안 버그 수정 정책
Atlassian에서는 제품의 취약점을 악용하여 고객 시스템에 손상이 발생하지 않도록 보장하는 것을 최우선으로 여깁니다.
범위
이 정책은 Atlassian이 제품의 보안 취약성을 해결할 수 있는 방법과 시기를 설명합니다.
보안 버그 수정 SLO(서비스 수준 목표)
Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위한 서비스 수준 목표를 설정합니다. Atlassian은 제품의 보안 문제를 해결하기 위해 다음과 같은 기간 목표를 정의했습니다.
가속화된 해결 목표
이 기간이 적용되는 대상은 다음과 같습니다.
- 모든 클라우드 기반 Atlassian 제품
- Atlassian에서 관리하는 모든 소프트웨어 또는 시스템
- Atlassian 인프라에서 실행 중인 모든 소프트웨어 또는 시스템
- Jira Align, Cloud 및 자체 관리 릴리스
취약성 수준에 따라 확인 후 제품에 수정 사항을 적용하는 타임라인을 다음과 같이 정의했습니다.
- 심각도가 '중요'인 버그는 10일 이내에 해결
- 심각도가 '높음'인 버그는 28일 이내에 해결
- 심각도가 '보통'인 버그는 84일 이내에 해결
- 심각도가 '낮음'인 버그는 175일 이내에 해결
연장된 해결 기간
이 기간 목표는 모든 Atlassian Data Center 제품 및 모바일 앱에 적용됩니다. Data Center 제품은 고객이 관리하는 시스템에 고객이 설치하는 제품입니다.
- 심각도가 중요, 높음 및 중간인 취약성은 확인 후 90일 이내에 제품에서 해결
- 심각도가 낮음인 취약성은 확인 후 180일 이내에 제품에서 해결
공동 책임 모델
Atlassian은 즉시 사용할 수 있는 안전한 제품을 제공하기 위해 최선을 다하는 동시에 공동 책임 모델도 활용하고 있습니다. 이 모델을 사용하려면 고객은 배포 이후부터 운영 단계까지 지속되는 관행을 구현해야 합니다. 이러한 책임에는 다음이 포함됩니다.
- 개인 네트워크에서 Atlassian 소프트웨어를 운영합니다.
- 보안 수정이 릴리스되면 적시에 구현합니다.
- 웹 애플리케이션 방화벽(WAF), VPN, 다단계 인증 및 Single Sign-On을 구성합니다.
- 암호화 및 액세스 제어를 구현합니다.
- 정기적 백업을 수행합니다.
- 정기적 보안 감사를 실시합니다.
중요 취약성
중요 취약성을 Atlassian이 발견하거나 타사가 보고하는 경우 Atlassian은 다음과 같은 조치를 수행합니다.
- Cloud 제품의 경우 영향을 받은 제품에 대해 수정된 새 릴리스를 최대한 빨리 제공합니다
- 자체 관리 제품의 경우 Atlassian은 다음과 같이 합니다.
- 영향을 받은 제품의 최신 기능 릴리스에 대한 버그 수정 릴리스를 제공합니다.
- 영향을 받은 제품에 대한 새 기능 릴리스를 릴리스 일정에 맞춰 제공합니다.
- Atlassian Support 수명 종료 정책에 따라 영향을 받은 제품의 지원되는 모든 LTS 릴리스에 대한 버그 수정 릴리스를 제공
제품 | 백 포트 정책 | 예 |
|---|---|---|
| Jira Software Server 및 Data Center Jira Server 및 Data Center Jira Service Management Server 및 Data Center(이전의 Jira Service Desk) | 다음에 대해 새로운 버그 수정 릴리스 배포:
| 예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.
|
| Confluence Server 및 Data Center | 다음에 대해 새로운 버그 수정 릴리스 배포:
| 예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.
|
| Bitbucket Server 및 Data Center | 다음에 대해 새로운 버그 수정 릴리스 배포:
| 예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.
Bitbucket 6.3.0은 수정이 릴리스된 날보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스는 장기 지원 릴리스로 지정되었으며, 버그 수정 릴리스도 제작됩니다. |
| Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다. | 예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.
|
Crowd, Fisheye 및 Crucible의 경우 영향을 받은 제품의 최신 기능 릴리스에 대한 버그 수정 릴리스를 제공합니다.
다음은 자체 관리 제품의 중요 취약성 수정 예시입니다.
2024년 2월 1일에 중요 취약성 수정을 개발한 경우 버그 수정을 받아야 하는 릴리스의 예시는 다음과 같습니다.
제품 | 예 |
|---|---|
| Jira Software | 예 Jira Software 9.13.x(최신 기능 릴리스가 9.13.0) |
| 예 Jira Software 9.12.x(최신 장기 지원 릴리스가 9.12.0) | |
| 예 Jira Software 9.4.x(이전 장기 지원 릴리스가 9.4.0) | |
| Jira Service Management | 예 Jira Service Management 5.13.x(최신 기능 릴리스가 5.13.0) |
| 예 Jira Service Management 5.12.x(최신 장기 지원 릴리스가 5.12.0) | |
| 예 Jira Service Management 5.4.x(지원되는 두 번째 최신 장기 지원 릴리스가 5.4.0) | |
| Confluence | 예 Confluence 8.7.x(최신 기능 릴리스가 8.7.0) |
| 예 Confluence 8.5.x(최신 장기 지원 릴리스가 8.5.0) | |
| 예 Confluence 7.19.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.19.0) | |
| Bitbucket | 예 Bitbucket 8.17.x(최신 기능 릴리스가 8.17.0) |
| 예 Bitbucket 8.9.x(최신 장기 지원 릴리스가 8.9.0) | |
| 예 Bitbucket 7.21.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.21.0) | |
| Bamboo | 예 Bamboo 9.5.x(최신 기능 릴리스가 9.5.0) |
| 예 Bamboo 9.2.x(최신 장기 지원 릴리스가 9.2.0) | |
| Crowd | 예 Crowd 5.3.x (최신 기능 릴리스가 5.3.0) |
| Fisheye/Crucible | 예 Fisheye/Crucible 4.8.x(최신 기능 릴리스가 4.8.0) |
다른 제품 버전에는 새로운 버그 수정이 제공되지 않습니다.
잦은 업그레이드는 제품 인스턴스의 보안을 보장합니다. 제품의 최신 기능 릴리스 또는 LTS 릴리스의 최신 버그 수정 릴리스를 유지하는 것이 가장 좋습니다.
중요하지 않은 취약성
심각도가 높음, 중간 또는 낮음인 보안 문제가 발견되면 Atlassian은 이 문서의 처음 부분에 나열된 서비스 수준 목표 내에서 수정 사항을 릴리스하는 것을 목표로 합니다. 가능한 경우 수정 사항이 장기 지원 릴리스로 백포팅될 수도 있습니다. 백포팅의 실현 가능성은 다양한 요인 중에서도 소프트웨어 종속성, 아키텍처 수정 및 호환성 문제의 영향을 받습니다.
설치 제품에 최신 보안 수정을 적용하려면 버그 수정이 릴리스될 때마다 업그레이드하세요.
기타 정보
취약성의 심각도 수준은 보안 문제의 심각도 수준을 기반으로 계산됩니다.
Atlassian은 고객 피드백을 기반으로 정책을 지속적으로 평가하고 이 페이지에서 업데이트 또는 변경 사항을 제공할 것입니다.