Beveiligingsbugfixbeleid
Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.
Scope
Dit beleid beschrijft hoe en wanneer we kwetsbaarheden op het gebied van beveiliging in onze producten kunnen oplossen.
Beveiligingsbugfix Service Level Objectives (SLO)
Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingskwetsbaarheden op basis van de ernst van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsissues in onze producten:
Versnelde tijdskaders voor resolutieoplossingen
Deze tijdskaders zijn van toepassing op alle cloudproducten van Atlassian, en op alle andere software of systemen die beheerd worden door Atlassian of werken op de infrastructuur van Atlassian. Ze zijn ook van toepassing op Jira Align (zowel de cloud als de zelfbeheerde releases).
- Kritieke kwetsbaarheden moeten opgelost zijn in het product binnen 10 dagen nadat ze geverifieerd zijn
- Grote kwetsbaarheden moeten opgelost zijn in het product binnen 28 dagen nadat ze geverifieerd zijn
- Gemiddelde kwetsbaarheden moeten opgelost zijn in het product binnen 84 dagen nadat ze geverifieerd zijn
- Lage kwetsbaarheden moeten opgelost zijn in het product binnen 175 dagen nadat ze geverifieerd zijn
Verlengde tijdskaders voor probleemoplossing
Deze tijdskaders zijn van toepassing op alle zelfbeheerde producten van Atlassian. Een zelfbeheerd product wordt door klanten geïnstalleerd bij systemen die door klanten worden beheerd en omvat Atlassian's Data Center en mobiele versies van apps.
- Kritieke, grote en gemiddelde kwetsbaarheden moeten opgelost zijn in het product binnen 90 dagen nadat ze geverifieerd zijn
- Lage kwetsbaarheden moeten opgelost zijn in het product binnen 180 dagen nadat ze geverifieerd zijn
Kritische kwetsbaarheden
Wanneer een kritieke kwetsbaarheid ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, voert Atlassian de volgende acties uit:
- Voor cloudproducten leveren we zo snel mogelijk een nieuwe verbeterde release voor het betreffende product
- Voor zelfbeheerde producten doen we het volgende:
- een bugfixrelease leveren voor de nieuwste functierelease van het betreffende product
- een nieuwe functierelease leveren voor het betreffende product volgens het releaseschema
- een bugfixversie leveren voor alle ondersteunde LTS-releases van het betreffende product, in overeenstemming met het end-of-life-beleid van Atlassian-support.
Product | Beleid vorige versies | Voorbeeld |
---|---|---|
Jira Software Server en Data Center Jira Core Server en Data Center Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk) | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Confluence Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Bitbucket Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als deze is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt. |
We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies. | Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Voor Crowd, Fisheye en Crucible bieden we een bugfixrelease voor de nieuwste functierelease van het betreffende product.
Voorbeelden van kritieke oplossingen voor kwetsbaarheden voor zelfbeheerde producten:
Als een oplossing voor kritieke kwetsbaarheden ontwikkeld is op 1 februari 2024, dan staan hieronder voorbeelden van releases die de bugfix ontvangen:
Product | Voorbeeld |
---|---|
Jira Software | Voorbeeld Jira Software 9.13.x omdat 9.13.0 de nieuwste functierelease is |
Voorbeeld Jira Software 9.12.x omdat 9.12.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Jira Software 9.4.x omdat 9.4.0 de vorige release met lange termijn-support is | |
Jira Service Management | Voorbeeld Jira Service Management 5.13.x omdat 5.13.0 de nieuwste functierelease is |
Voorbeeld Jira Service Management 5.12.x omdat 5.12.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Jira Service Management 5.4.x omdat 5.4.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Confluence | Voorbeeld Confluence 8.7.x omdat 8.7.0 de nieuwste functierelease is |
Voorbeeld Confluence 8.5.x omdat 8.5.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Confluence 7.19.x omdat 7.19.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Bitbucket | Voorbeeld Bitbucket 8.17.x omdat 8.17.0 de nieuwste functierelease is |
Voorbeeld Bitbucket 8.9.x omdat 8.9.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Bitbucket 7.21.x omdat 7.21.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Bamboo | Voorbeeld Bamboo 9.5.x omdat 9.5.0 de nieuwste functierelease is |
Voorbeeld Bamboo 9.2.x omdat 9.2.0 de nieuwste release met lange termijn-support is | |
Crowd | Voorbeeld Crowd 5.3.x omdat 5.3.0 de nieuwste functierelease is |
Fisheye/Crucible | Voorbeeld Fisheye/Crucible 4.8.x omdat 4.8.0 de nieuwste functierelease is |
Andere productversies krijgen geen nieuwe bugfixes.
Regelmatige upgrades zorgen ervoor dat je productinstallaties veilig zijn. Het is aanbevolen om op de hoogte te blijven van de nieuwste bugfixreleases van de nieuwste functierelease of LTS-release van je product.
Niet-kritische kwetsbaarheden
Wanneer een beveiligingsissue met een hoge, gemiddelde of lage ernst wordt ontdekt, streeft Atlassian ernaar om een oplossing vrij te geven in de service level objectives die aan het begin van dit document worden vermeld. Deze oplossing kan indien mogelijk ook worden meegenomen naar releases met lange termijn-support. De haalbaarheid van het meenemen hangt onder andere af van complexe afhankelijkheden, veranderingen in de architectuur en compatibiliteit.
Je dient je installaties te upgraden zodra er een bugfixrelease beschikbaar komt, zodat je er zeker van kunt zijn dat de nieuwste beveiligingsfixes zijn toegepast.
Overige informatie
Het ernstniveau van kwetsbaarheden wordt berekend op basis van Ernstniveaus voor beveiligingsissues.
We blijven ons beleid voortdurend aanpassen op basis van feedback van klanten en eventuele updates of veranderingen op deze pagina tonen.