Zgłaszanie luki w zabezpieczeniach
Jeśli uważasz, że udało Ci się wykryć problem z bezpieczeństwem zgodny z definicją luki w zabezpieczeniach Atlassian, prześlij zgłoszenie do naszego zespołu ds. bezpieczeństwa, korzystając z jednego z poniższych sposobów.
Nie jesteśmy w stanie reagować na zbiorcze raporty generowane przez zautomatyzowane skanery. Jeśli wykryjesz problemy przy użyciu zautomatyzowanego skanera, zalecamy przed przesłaniem zgłoszenia o luce w zabezpieczeniach do Atlassian zlecenie ich analizy specjaliście ds. bezpieczeństwa, aby się upewnić, że wyniki faktycznie są istotne.
Jeśli jesteś klientem:
- Prześlij zgłoszenie do naszego zespołu wsparcia.
Jeśli jesteś badaczem zabezpieczeń:
- Prześlij zgłoszenie za pośrednictwem naszego programu wykrywania błędów.
- Możesz też wysłać wiadomość e-mail na adres security@atlassian.com.
Do otrzymania nagrody kwalifikują się wyłącznie te luki w zabezpieczeniach, które zostały zgłoszone za pośrednictwem naszego programu wykrywania błędów.
W swoim zgłoszeniu uwzględnij następujące informacje:
- rodzaj problemu (Cross-site Scripting, SQL Injection, zdalne wykonanie kodu itp.);
- produkt zawierający błąd, łącznie z wersją, lub adres URL w przypadku usługi w chmurze;
- potencjalny wpływ luki w zabezpieczeniach (tj. do jakich danych można uzyskać dostęp lub jakie dane można modyfikować);
- instrukcje odtworzenia problemu krok po kroku;
- dowolna weryfikacja koncepcji lub kod programu wykorzystującego luki wymagany do odtworzenia problemu.
Jeśli chcesz zaszyfrować swoje zgłoszenie za pomocą naszego klucza PGP, możesz go pobrać tutaj.
Definicja luki w zabezpieczeniach
Pod pojęciem luki w zabezpieczeniach Atlassian rozumie podatność jednego ze swoich produktów lub infrastruktury, która może pozwolić autorowi ataku wpłynąć na poufność, integralność lub dostępność produktu bądź infrastruktury.
Jako luki w zabezpieczeniach nie są traktowane następujące rodzaje odkryć:
- Obecność lub brak nagłówków HTTP (X-Frame-Options, CSP, nosniff itp.). Są one uznawane za najlepsze praktyki w zakresie bezpieczeństwa, dlatego nie klasyfikujemy ich jako luk w zabezpieczeniach.
- Brak atrybutów związanych z bezpieczeństwem w plikach cookie zawierających dane inne niż wrażliwe. Produkty Atlassian mogą ustawiać określone atrybuty związane z bezpieczeństwem w plikach cookie używanych w naszych aplikacjach. Braku takich nagłówków w plikach cookie zawierających dane inne niż wrażliwe nie uznaje się za lukę w zabezpieczeniach.
- Uwidocznione ślady stosu. Ślady stosu same w sobie nie stanowią problemu z bezpieczeństwem. Jeśli stwierdzisz, że ślad stosu zawiera identyfikowalne dane osobowe lub treść wygenerowaną przez użytkownika, prześlij zgłoszenie, opisując szczegółowo problem.
- Spoofing zawartości przez użytkowników administracyjnych. Zezwalamy administratorom na iniekcję kodu HTML do określonych obszarów naszych produktów w ramach ich dostosowywania, a funkcji tej nie traktujemy jako luki w zabezpieczeniach.
- Włączona lub wyłączona funkcja autouzupełniania.
Publiczne ujawnianie
Jedna z głównych dewiz Atlassian to „Otwarta firma, bez nonsensów” i wierzymy, że ujawnianie luk w zabezpieczeniach jest jej integralną częścią. W zakresie usuwania błędów zabezpieczeń dążymy do realizacji docelowych poziomów świadczenia usług, które można znaleźć tutaj, i będziemy przyjmować wnioski o ujawnienie luk złożone za pośrednictwem naszych programów wykrywania błędów po rozwiązaniu problemu i uwzględnieniu poprawki w wydaniu produkcyjnym. Jeśli jednak raport będzie zawierać jakiekolwiek informacje dotyczące instancji lub danych klienta, wniosek zostanie odrzucony. Powiadom nas odpowiednio wcześniej i poczekaj, aż minie termin określony w powiązanym docelowym poziomie świadczenia usług (SLO). Pamiętaj, że nie zapewniamy nagród w przypadku zgłoszeń przesłanych za pośrednictwem poczty elektronicznej. Jeśli szukasz naszego programu wykrywania błędów, przejdź tutaj.
Bezpieczna przystań
Kiedy badania luk w zabezpieczeniach są prowadzone zgodnie z tymi zasadami, uznajemy, że są one:
- Dozwolone zgodnie z ustawą Computer Fraud and Abuse Act (CFAA) (i/lub podobnymi przepisami stanowymi) i nie będziemy inicjować ani wspierać postępowania sądowego przeciwko użytkownikowi w przypadku przypadkowego naruszenia tych zasad w dobrej wierze;
- Zwolnione z przepisów ustawy Digital Millennium Copyright Act (DMCA), a my nie będziemy wnosić roszczeń przeciwko użytkownikowi w związku z obchodzeniem technicznych środków kontroli;
- Zwolnione z ograniczeń zawartych w naszych Warunkach, które mogłyby przeszkadzać w prowadzeniu badań bezpieczeństwa, a my zrzekamy się tych ograniczeń w ograniczonym zakresie w odniesieniu do pracy wykonanej zgodnie z tymi zasadami;
- Zgodne z prawem i przyczyniają się do ogólnego bezpieczeństwa Internetu oraz są prowadzone w dobrej wierze.
Jak zawsze, oczekuje się przestrzegania wszystkich obowiązujących przepisów prawa.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badania bezpieczeństwa są zgodne z tymi zasadami, skontaktuj się z nami pod adresem security@atlassian.com, a my chętnie odpowiemy na Twoje pytania.
Program wykrywania błędów
Atlassian prowadzi publiczny program wykrywania błędów w naszych produktach za pośrednictwem platformy naszego partnera — Bugcrowd. W ramach naszych programów badacze zabezpieczeń mogą otrzymać wynagrodzenie pieniężne w zamian za przesłanie do Atlassian spełniającego kryteria zgłoszenia o luce w zabezpieczeniach.
Publiczne ujawnianie
Dla Atlassian sprawą priorytetową jest usunięcie wszelkich luk w zabezpieczeniach naszych produktów w czasie określonym w naszych zasadach usuwania błędów zabezpieczeń. Aby chronić naszych klientów, przestrzegamy skoordynowanych procedur ujawniania luk w zabezpieczeniach i zwracamy się z prośbą do osób zgłaszających luki o postępowanie w ten sam sposób.