보안 버그 수정 정책

Atlassian에서는 제품의 취약점을 악용하여 고객 시스템에 손상이 발생하지 않도록 보장하는 것을 최우선으로 여깁니다.

범위

이 정책은 Atlassian이 제품의 보안 취약성을 해결할 수 있는 방법과 시기를 설명합니다.

Security bug fix service level objectives (SLOs)

Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위한 서비스 수준 목표를 설정합니다. Atlassian은 제품의 보안 문제를 해결하기 위해 다음과 같은 기간 목표를 정의했습니다.

가속화된 해결 목표

These timeframes apply to:

모든 클라우드 기반 Atlassian 제품
Any software or system managed by Atlassian
Any software or system running on Atlassian infrastructure
Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

Critical - 14 days
High - 28 days
Medium - 42 days
Low - 175 days

연장된 해결 기간

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

Operating Atlassian software on private networks.
Ensuring timely implementation of security fixes once they're released.
Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
Implementing encryption and access controls.
Performing regular backups.
Conducting regular security audits.

중요 취약성

중요 취약성을 Atlassian이 발견하거나 타사가 보고하는 경우 Atlassian은 다음과 같은 조치를 수행합니다.

Cloud 제품의 경우 영향을 받은 제품에 대해 수정된 새 릴리스를 최대한 빨리 제공합니다
자체 관리 제품의 경우 Atlassian은 다음과 같이 합니다.
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- Atlassian Support 수명 종료 정책에 따라 영향을 받은 제품의 지원되는 모든 LTS 릴리스에 대한 버그 수정 릴리스를 제공

제품	백 포트 정책	예
Jira Software Server 및 Data Center Jira Server and Data Center Jira Service Management Server 및 Data Center(이전의 Jira Service Desk)	다음에 대해 새로운 버그 수정 릴리스 배포: 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전	예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다. Jira 8.6.x - 8.6.0을 2019년 12월 17일에 릴리스했으므로 Jira 8.5.x - 8.5.0을 2019년 10월 21일에 릴리스했으므로 Jira 8.4.x - 8.4.0을 2019년 9월 9일에 릴리스했으므로 Jira 8.3.x - 8.3.0을 2019년 7월 22일에 릴리스했으므로 Jira 7.13.x - 7.13이 장기 지원 릴리스이고 7.13.0을 2018년 11월 28일에 릴리스했으므로
Confluence Server 및 Data Center	다음에 대해 새로운 버그 수정 릴리스 배포: 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전	예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다. Confluence 7.2.x - 7.2.0을 2019년 12월 12일에 릴리스했으므로 Confluence 7.1.x - 7.1.0을 2019년 11월 4일에 릴리스했으므로 Confluence 7.0.x - 7.0.0을 2019년 9월 10일에 릴리스했으므로 Confluence 6.13.x - 6.13이 장기 지원 릴리스이고 6.13.0을 2018년 12월 4일에 릴리스했으므로
Bitbucket Server 및 Data Center	다음에 대해 새로운 버그 수정 릴리스 배포: 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전	예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다. Bitbucket 6.9.x - 6.9.0을 2019년 12월 10일에 릴리스했으므로 Bitbucket 6.8.x - 6.8.0을 2019년 12월 6일에 릴리스했으므로 Bitbucket 6.7.x - 6.7.0을 2019년 10월 1일에 릴리스했으므로 Bitbucket 6.6.x - 6.6.0을 2019년 8월 27일에 릴리스했으므로 Bitbucket 6.5.x - 6.5.0을 2019년 7월 24일에 릴리스했으므로 Bitbucket 6.3.0은 수정이 릴리스된 날보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스는 장기 지원 릴리스로 지정되었으며, 버그 수정 릴리스도 제작됩니다.
기타 모든 제품(Bamboo, Crucible, Fisheye 등)	Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다.	예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다. Bamboo 6.10.x - 2019년 9월 17일에 릴리스했으며 최신 릴리스이므로 Bamboo 6.9.x - 6.9.0이 이전 릴리스이므로

제품

백 포트 정책

예

Jira Software Server 및 Data Center

Jira Server and Data Center

Jira Service Management Server 및 Data Center(이전의 Jira Service Desk)

다음에 대해 새로운 버그 수정 릴리스 배포:

종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

Jira 8.6.x - 8.6.0을 2019년 12월 17일에 릴리스했으므로
Jira 8.5.x - 8.5.0을 2019년 10월 21일에 릴리스했으므로
Jira 8.4.x - 8.4.0을 2019년 9월 9일에 릴리스했으므로
Jira 8.3.x - 8.3.0을 2019년 7월 22일에 릴리스했으므로
Jira 7.13.x - 7.13이 장기 지원 릴리스이고 7.13.0을 2018년 11월 28일에 릴리스했으므로

Confluence Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

Confluence 7.2.x - 7.2.0을 2019년 12월 12일에 릴리스했으므로
Confluence 7.1.x - 7.1.0을 2019년 11월 4일에 릴리스했으므로
Confluence 7.0.x - 7.0.0을 2019년 9월 10일에 릴리스했으므로
Confluence 6.13.x - 6.13이 장기 지원 릴리스이고 6.13.0을 2018년 12월 4일에 릴리스했으므로

Bitbucket Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

Bitbucket 6.9.x - 6.9.0을 2019년 12월 10일에 릴리스했으므로
Bitbucket 6.8.x - 6.8.0을 2019년 12월 6일에 릴리스했으므로
Bitbucket 6.7.x - 6.7.0을 2019년 10월 1일에 릴리스했으므로
Bitbucket 6.6.x - 6.6.0을 2019년 8월 27일에 릴리스했으므로
Bitbucket 6.5.x - 6.5.0을 2019년 7월 24일에 릴리스했으므로

Bitbucket 6.3.0은 수정이 릴리스된 날보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스는 장기 지원 릴리스로 지정되었으며, 버그 수정 릴리스도 제작됩니다.

기타 모든 제품(Bamboo, Crucible, Fisheye 등)

Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다.

예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

Bamboo 6.10.x - 2019년 9월 17일에 릴리스했으며 최신 릴리스이므로
Bamboo 6.9.x - 6.9.0이 이전 릴리스이므로

Crowd, Fisheye 및 Crucible의 경우 영향을 받은 제품의 최신 기능 릴리스에 대한 버그 수정 릴리스를 제공합니다.

다음은 자체 관리 제품의 중요 취약성 수정 예시입니다.

2024년 2월 1일에 중요 취약성 수정을 개발한 경우 버그 수정을 받아야 하는 릴리스의 예시는 다음과 같습니다.

제품	예
Jira Software	예 Jira Software 9.13.x(최신 기능 릴리스가 9.13.0)
	예 Jira Software 9.12.x(최신 장기 지원 릴리스가 9.12.0)
	예 Jira Software 9.4.x(이전 장기 지원 릴리스가 9.4.0)
Jira Service Management	예 Jira Service Management 5.13.x(최신 기능 릴리스가 5.13.0)
	예 Jira Service Management 5.12.x(최신 장기 지원 릴리스가 5.12.0)
	예 Jira Service Management 5.4.x(지원되는 두 번째 최신 장기 지원 릴리스가 5.4.0)
Confluence	예 Confluence 8.7.x(최신 기능 릴리스가 8.7.0)
	예 Confluence 8.5.x(최신 장기 지원 릴리스가 8.5.0)
	예 Confluence 7.19.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.19.0)
Bitbucket	예 Bitbucket 8.17.x(최신 기능 릴리스가 8.17.0)
	예 Bitbucket 8.9.x(최신 장기 지원 릴리스가 8.9.0)
	예 Bitbucket 7.21.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.21.0)
Bamboo	예 Bamboo 9.5.x(최신 기능 릴리스가 9.5.0)
Bamboo	예 Bamboo 9.2.x(최신 장기 지원 릴리스가 9.2.0)
Crowd	예 Crowd 5.3.x (최신 기능 릴리스가 5.3.0)
Fisheye/Crucible	예 Fisheye/Crucible 4.8.x(최신 기능 릴리스가 4.8.0)

다른 제품 버전에는 새로운 버그 수정이 제공되지 않습니다.

잦은 업그레이드는 제품 인스턴스의 보안을 보장합니다. 제품의 최신 기능 릴리스 또는 LTS 릴리스의 최신 버그 수정 릴리스를 유지하는 것이 가장 좋습니다.

중요하지 않은 취약성

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

기타 정보

취약성의 심각도 수준은 보안 문제의 심각도 수준을 기반으로 계산됩니다.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

FAQ

What is a shared responsibility model? Copy link to heading Copied! 보기 +

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.

What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! 보기 +

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.

What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! 보기 +

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.

What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! 보기 +

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.

Where can I find the latest releases? Copy link to heading Copied! 보기 +

You can always check the software download portal or visit the product-specific download pages.

What is a supported release? Copy link to heading Copied! 보기 +

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.

Where I find a list of supported releases? Copy link to heading Copied! 보기 +

Check out the Atlassian Data Center End of Support Policy for the most up-to-date information.

What is a vulnerability? Copy link to heading Copied! 보기 +

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.

보안 버그 수정이란 무엇입니까? Copy link to heading Copied! 보기 +

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

Data Center 제품의 수정된 취약성에 대한 자세한 정보는 어디에서 찾을 수 있습니까? Copy link to heading Copied! 보기 +

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.

추천

Jira

Confluence

Jira Service Management

Trello

Rovo 신규

Jira Product Discovery 신규

Compass 신규

Guard 신규

Loom 신규

개발자

Jira

Bitbucket

Compass 신규

제품 매니저

Jira

Confluence

Jira Product Discovery 신규

IT 전문가

Jira Service Management

Guard 신규

비즈니스 팀

Jira

Confluence

Trello

Loom 신규

리더십 팀

Jira

Confluence

Loom 신규

Jira Align

팀

소프트웨어

마케팅

IT

솔루션

팀 규모별

업계별

Atlassian을 선택하는 이유

통합

고객

FedRAMP

복원력

플랫폼

Trust Center

리소스

고객 지원

파트너 찾기

마이그레이션 프로그램

University

지원

자세히 알아보기

Jira

Jira Service Management

Confluence

보안 버그 수정 정책

범위

Security bug fix service level objectives (SLOs)

제품

백 포트 정책

예

다음은 자체 관리 제품의 중요 취약성 수정 예시입니다.

제품

예

중요하지 않은 취약성

기타 정보

FAQ

제품

리소스

자세히 알아보기