Zasady usuwania błędów zabezpieczeń

Ochrona systemów klienta przed atakami z wykorzystaniem luk w zabezpieczeniach produktów Atlassian jest dla Atlassian sprawą priorytetową.

Zakres

This policy describes how and when we may resolve security vulnerabilities in our products.

Usuwanie błędów zabezpieczeń — docelowe poziomy świadczenia usług (SLO)

Atlassian sets service level objectives for fixing security vulnerabilities based on the security severity level and the affected product. We've defined the following timeframe objectives for fixing security issues in our products:

Accelerated Resolution Objectives

These timeframes apply to all cloud-based Atlassian products, and any other software or system that is managed by Atlassian, or is running on Atlassian infrastructure. They also apply to Jira Align (both the cloud and self-managed releases).

Critical vulnerabilities to be fixed in product within 10 days of being verified
High vulnerabilities to be fixed in product within 28 days of being verified
Medium vulnerabilities to be fixed in product within 84 days of being verified
Low vulnerabilities to be fixed in product within 175 days of being verified

Czas usuwania błędów w trybie wydłużonym

These timeframe objectives apply to all self-managed Atlassian products. A self-managed product is installed by customers on customer-managed systems and includes Atlassian's Data Center and mobile apps.

Critical, High, and Medium vulnerabilities to be fixed in product within 90 days of being verified
Low vulnerabilities to be fixed in product within 180 days of being verified

Krytyczne luki w zabezpieczeniach

When a critical vulnerability is discovered by Atlassian or reported by a third party, Atlassian will take the following actions:

For cloud products, we will ship a new fixed release for the affected product as soon as possible
For self-managed products, we will:
- ship a bug fix release for the latest feature release of the affected product
- ship a new feature release for the affected product on the release schedule
- ship a bug fix release for all supported LTS releases of the affected product, in accordance with the Atlassian Support End of Life Policy.

Produkt	Zasady backportowania	Przykład
Jira Software Server i Data Center Jira Core Server i Data Center Jira Service Management Server i Data Center (dawniej Jira Service Desk)	Udostępnienie nowych wydań z poprawką błędu dla: Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca. Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.	Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu: Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku
Confluence Server i Data Center	Udostępnienie nowych wydań z poprawką błędu dla: Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca. Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.	Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu: Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku
Bitbucket Server i Data Center	Udostępnienie nowych wydań z poprawką błędu dla: Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca. Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.	Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu: Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.
Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)	Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.	Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu: Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

Produkt

Zasady backportowania

Przykład

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Management Server i Data Center (dawniej Jira Service Desk)

Udostępnienie nowych wydań z poprawką błędu dla:

Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku

Confluence Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku

Bitbucket Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.

Examples of critical vulnerability fixes for self-managed products:

If a critical vulnerability fix is developed on Feb 1, 2024, the following are example releases that would receive the bug fix:

Produkt	Przykład
Jira Software	Przykład Jira Software 9.13.x because 9.13.0 is the latest feature release
	Przykład Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release
	Przykład Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release
Jira Service Management	Przykład Jira Service Management 5.13.x because 5.13.0 is the latest feature release
	Przykład Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release
	Przykład Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release
Confluence	Przykład Confluence 8.7.x because 8.7.0 is the latest feature release
	Przykład Confluence 8.5.x because 8.5.0 is the latest Long Term Support release
	Przykład Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release
Bitbucket	Przykład Bitbucket 8.17.x because 8.17.0 is the latest feature release
	Przykład Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release
	Przykład Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release
Bamboo	Przykład Bamboo 9.5.x because 9.5.0 is the latest feature release
Bamboo	Przykład Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release
Crowd	Przykład Crowd 5.3.x because 5.3.0 is the latest feature release
Fisheye/Crucible	Przykład Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release

No other product versions would receive new bug fixes.

Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.

Niekrytyczne luki w zabezpieczeniach

When a security issue of a High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. The fix may also be backported to Long Term Support releases, if feasible. The feasibility of backporting depends on complex dependencies, architectural changes, and compatibility, among other factors.

Po udostępnieniu wydania z poprawką błędu należy uaktualnić instalacje, aby mieć pewność, że zostały zastosowane najnowsze poprawki zabezpieczeń.

Inne informacje

The severity level of vulnerabilities is calculated based on Severity Levels for Security Issues.

We'll continuously evaluate our policies based on customer feedback and will provide any updates or changes on this page.

Często zadawane pytania

What is a security bug fix? Copy link to heading Copied! Pokaż +

A security bug fix is a set of changes made to a system or application to address vulnerabilities that could potentially be exploited by hackers. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

What is vulnerability? Copy link to heading Copied! Pokaż +

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access, cause damage. This could include things like outdated software, weak passwords, or missing data encryption.

Where can I find more information on fixed vulnerabilities in Data Center products? Copy link to heading Copied! Pokaż +

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It is updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.

What is a Long Term Support release? Copy link to heading Copied! Pokaż +

Long Term Support releases are for Data Center customers who prefer to allow more time to prepare for upgrades to new feature versions but still need to receive bug fixes. Some products will designate a particular version to be a Long Term Support release, which means that security bug fixes will be made available for the full 2-year support window.

What is a Feature release? Copy link to heading Copied! Pokaż +

A Feature release is a version (for example, Jira Software 9.11) that contains new features or major changes to existing features and that hasn't been designated a Long Term Support release. Learn more about the Atlassian Bug Fixing Policy.

Polecane

Jira

Confluence

Jira Service Management

Trello

Rovo NOWOŚĆ

Jira Product Discovery NOWOŚĆ

Compass NOWOŚĆ

Guard NOWOŚĆ

Loom NOWOŚĆ

Programiści

Jira

Bitbucket

Compass NOWOŚĆ

Menedżerowie produktu

Jira

Confluence

Jira Product Discovery NOWOŚĆ

Specjaliści IT

Jira Service Management

Guard NOWOŚĆ

Zespoły biznesowe

Jira

Confluence

Trello

Loom NOWOŚĆ

Kadra zarządzająca

Jira

Confluence

Loom NOWOŚĆ

Jira Align

Zespoły

Oprogramowanie

Marketing

IT

rozwiązanie

Według wielkości zespołu

Według branży

Dlaczego Atlassian

Narzędzia Integracji

Klienci

FedRAMP

Odporność

Platforma

Centrum zaufania

Zasoby

Obsługa klienta

Znajdź partnerów

Program migracji

University

Wsparcie

Uczenie się

Zasady usuwania błędów zabezpieczeń

Zakres

Usuwanie błędów zabezpieczeń — docelowe poziomy świadczenia usług (SLO)

Produkt

Zasady backportowania

Przykład

Produkt

Przykład

Niekrytyczne luki w zabezpieczeniach

Inne informacje

Często zadawane pytania

produkty

Zasoby

Uczenie się