Close
Deze pagina in jouw taal bekijken?
Alle talen
Kies je taal

Beveiligingsbugfixbeleid

Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.

Scope

Dit beleid beschrijft hoe en wanneer we kwetsbaarheden op het gebied van beveiliging in onze producten kunnen oplossen.

Security bug fix service level objectives (SLOs)

Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingskwetsbaarheden op basis van de ernst van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsissues in onze producten:

Versnelde tijdskaders voor resolutieoplossingen

These timeframes apply to:

  • Alle cloudgebaseerde Atlassian-producten
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Verlengde tijdskaders voor probleemoplossing

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Kritische kwetsbaarheden

Wanneer een kritieke kwetsbaarheid ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, voert Atlassian de volgende acties uit:

  • Voor cloudproducten leveren we zo snel mogelijk een nieuwe verbeterde release voor het betreffende product
  • Voor zelfbeheerde producten doen we het volgende:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • een bugfixversie leveren voor alle ondersteunde LTS-releases van het betreffende product, in overeenstemming met het end-of-life-beleid van Atlassian-support.

Product
Beleid vorige versies
Voorbeeld

Jira Software Server en Data Center

Jira Server and Data Center

Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk)

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Jira 8.6.x omdat 8.6.0 is uitgebracht op 17 december 2019
  • Jira 8.5.x omdat 8.5.0 is uitgebracht op 21 oktober 2019
  • Jira 8.4.x omdat 8.4.0 is uitgebracht op 9 september 2019
  • Jira 8.3.x omdat 8.3.0 is uitgebracht op 22 juli 2019
  • Jira 7.13.x omdat 7.13 een release met lange termijn-support is en 7.13.0 is uitgebracht op 28 november 2018

Confluence Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Confluence 7.2.x omdat 7.2.0 is uitgebracht op 12 december 2019
  • Confluence 7.1.x omdat 7.1.0 is uitgebracht op 4 november 2019
  • Confluence 7.0.x omdat 7.0.0 is uitgebracht op 10 september 2019
  • Confluence 6.13.x omdat 6.13 een release met lange termijn-support is en 6.13.0 is uitgebracht op 4 december 2018

Bitbucket Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bitbucket 6.9.x omdat 6.9.0 is uitgebracht op 10 december 2019
  • Bitbucket 6.8.x omdat 6.8.0 is uitgebracht op 6 november 2019
  • Bitbucket 6.7.x omdat 6.7.0 is uitgebracht op 1 oktober 2019
  • Bitbucket 6.6.x omdat 6.6.0 is uitgebracht op 27 augustus 2019
  • Bitbucket 6.5.x omdat 6.5.0 is uitgebracht op 24 juli 2019

Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt.

Alle andere producten (Bamboo, Crucible, Fisheye, etc.)

We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies.

Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bamboo 6.10.x omdat deze is uitgebracht op 17 september 2019 en de huidige release is
  • Bamboo 6.9.x omdat 6.9.0 de voorgaande release is

Voor Crowd, Fisheye en Crucible bieden we een bugfixrelease voor de nieuwste functierelease van het betreffende product.

Voorbeelden van kritieke oplossingen voor kwetsbaarheden voor zelfbeheerde producten:

Als een oplossing voor kritieke kwetsbaarheden ontwikkeld is op 1 februari 2024, dan staan hieronder voorbeelden van releases die de bugfix ontvangen:

Product

Voorbeeld

Jira Software

Voorbeeld

Jira Software 9.13.x omdat 9.13.0 de nieuwste functierelease is

Voorbeeld

Jira Software 9.12.x omdat 9.12.0 de nieuwste release met lange termijn-support is

Voorbeeld

Jira Software 9.4.x omdat 9.4.0 de vorige release met lange termijn-support is

Jira Service Management

Voorbeeld

Jira Service Management 5.13.x omdat 5.13.0 de nieuwste functierelease is

Voorbeeld

Jira Service Management 5.12.x omdat 5.12.0 de nieuwste release met lange termijn-support is

Voorbeeld

Jira Service Management 5.4.x omdat 5.4.0 de op een na recentste ondersteunde release met lange termijn-support is

Confluence

Voorbeeld

Confluence 8.7.x omdat 8.7.0 de nieuwste functierelease is

Voorbeeld

Confluence 8.5.x omdat 8.5.0 de nieuwste release met lange termijn-support is

Voorbeeld

Confluence 7.19.x omdat 7.19.0 de op een na recentste ondersteunde release met lange termijn-support is

Bitbucket

Voorbeeld

Bitbucket 8.17.x omdat 8.17.0 de nieuwste functierelease is

Voorbeeld

Bitbucket 8.9.x omdat 8.9.0 de nieuwste release met lange termijn-support is

Voorbeeld

Bitbucket 7.21.x omdat 7.21.0 de op een na recentste ondersteunde release met lange termijn-support is

Bamboo

Voorbeeld

Bamboo 9.5.x omdat 9.5.0 de nieuwste functierelease is

Voorbeeld

Bamboo 9.2.x omdat 9.2.0 de nieuwste release met lange termijn-support is

Crowd

Voorbeeld

Crowd 5.3.x omdat 5.3.0 de nieuwste functierelease is

Fisheye/Crucible

Voorbeeld

Fisheye/Crucible 4.8.x omdat 4.8.0 de nieuwste functierelease is

Andere productversies krijgen geen nieuwe bugfixes.

Regelmatige upgrades zorgen ervoor dat je productinstallaties veilig zijn. Het is aanbevolen om op de hoogte te blijven van de nieuwste bugfixreleases van de nieuwste functierelease of LTS-release van je product.

Niet-kritische kwetsbaarheden

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Overige informatie

Het ernstniveau van kwetsbaarheden wordt berekend op basis van Ernstniveaus voor beveiligingsissues.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

Veelgestelde vragen

What is a shared responsibility model? Copy link to heading Copied! Tonen +
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.
What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Tonen +
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.
What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Tonen +
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.
What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Tonen +
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.
Where can I find the latest releases? Copy link to heading Copied! Tonen +
  

You can always check the software download portal or visit the product-specific download pages.
What is a supported release? Copy link to heading Copied! Tonen +
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.
Where I find a list of supported releases? Copy link to heading Copied! Tonen +
  

Check out the Atlassian Data Center End of Support Policy for the most up-to-date information.
What is a vulnerability? Copy link to heading Copied! Tonen +
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.
Wat is een beveiligingsbugfix? Copy link to heading Copied! Tonen +
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.
Waar kan ik meer informatie vinden over opgeloste kwetsbaarheden in Data Center-producten? Copy link to heading Copied! Tonen +
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.