Beleid voor het publiceren van beveiligingsadviezen
Publicatie van beveiligingsadviezen
Wanneer een beveiligingsprobleem met ernstniveau "Kritiek" in een zelfbeheerd Atlassian-product wordt ontdekt en opgelost, zal Atlassian klanten informeren via de volgende mechanismen:
- We zullen tegelijk met het vrijgeven van een oplossing voor het beveiligingslek een beveiligingsadvies op https://www.atlassian.com/trust/security/advisories plaatsen;
- We sturen een kopie van alle kritieke beveiligingsadviezen naar de mailinglijst 'Alerts' voor het betreffende product, met uitzondering van Sourcetree;
NB: Werk je e-mailvoorkeuren bij op https://my.atlassian.com/email om er zeker van te zijn dat je op deze lijst staat; - Wanneer de persoon die de kwetsbaarheid heeft gemeld een advies via een ander bureau, zoals CERT/CC, wil publiceren, zullen we helpen bij de productie van dat advies en ernaar linken vanuit onze Hall of Fame.
Als je niet-kritieke beveiligingskwetsbaarheden in de beveiliging wilt volgen, moet je de probleemtrackers voor de relevante producten controleren op https://jira.atlassian.com. Bijvoorbeeld https://jira.atlassian.com/browse/JRACLOUD voor Jira Cloud en https://jira.atlassian.com/browse/CONFSERVER voor Confluence Server en Data Center. Beveiligingskwetsbaarheden in trackers gebruiken het issuetype "Public Security Vulnerability". Alle beveiligingsproblemen worden vermeld in de releasenotes van de release waarin ze zijn verholpen. Deze methode is vergelijkbaar met andere bugs.