Правила исправления ошибок, связанных с безопасностью
Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.
Область действия
В этой политике описывается, как и когда мы можем устранять уязвимости безопасности в наших продуктах.
Целевой уровень обслуживания (SLO) при устранении багов безопасности
Компания Atlassian задает цели по уровню обслуживания для исправления уязвимостей в защите в зависимости от уровня серьезности для безопасности и затронутого продукта. Мы определили следующие временные отрезки для исправления проблем безопасности в наших продуктах.
Цели ускоренного решения проблем
Эти временные отрезки применяются ко всем продуктам Atlassian Cloud и любому другому программному обеспечению или системе, которыми управляет Atlassian или которые работают в инфраструктуре Atlassian. Они также применимы и к Jira Align (как для версии Cloud, так и для версии с самостоятельным управлением).
- Критические уязвимости продукта необходимо исправить в течение 10 дней после проверки.
- Уязвимости с высоким уровнем опасности необходимо исправить в течение 28 дней после проведения проверки.
- Уязвимости продукта со средним уровнем опасности необходимо исправить в течение 84 дней после проверки.
- Уязвимости с низким уровнем опасности необходимо исправить в течение 175 дней после проведения проверки.
Расширенные временные отрезки
Эти целевые временные отрезки применяются ко всем продуктам Atlassian, предназначенным для самостоятельного управления. Продукт с самостоятельным управлением устанавливается клиентами в управляемых заказчиком системах и включает Data Center от Atlassian, а также мобильные приложения.
- Уязвимости критического, высокого и среднего уровня опасности необходимо исправить в течение 90 дней после проведения проверки.
- Уязвимости низкого уровня опасности необходимо исправить в течение 180 дней после проведения проверки.
Критические уязвимости
При обнаружении компанией Atlassian критической уязвимости или при получении сообщения о таковой от третьего лица компания Atlassian предпринимает следующие действия.
- Для продуктов Cloud мы выпускаем новую исправленную версию соответствующего продукта как можно скорее.
- Для продуктов с самостоятельным управлением мы:
- выпускаем релиз с исправлением багов для последней функциональной версии затронутого продукта;
- выпускаем новый функциональный релиз для соответствующего продукта в соответствии с графиком релизов;
- выпускаем релиз с исправлением багов для всех поддерживаемых версий соответствующего продукта c долгосрочной поддержкой в соответствии с Правилами Atlassian относительно прекращения поддержки.
Продукт | Правила обновления прошлых релизов | Пример |
|---|---|---|
| Jira Software Server и Data Center Jira Core Server и Data Center Jira Service Management Server и Data Center (ранее — Jira Service Desk) | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
| Confluence Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
| Bitbucket Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного фикса. Если бы она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс. |
| Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов. | Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
Для Crowd, Fisheye и Crucible мы выпускаем релиз с исправлением багов в последней функциональной версии соответствующего продукта.
Примеры исправлений критических уязвимостей для продуктов с самостоятельным управлением.
Если исправление критических уязвимостей выходит 01.02.2024, необходимо выпустить следующие новые версии с исправлениями багов:
Продукт | Пример |
|---|---|
| Jira Software | Пример Jira Software 9.13.x, поскольку 9.13.0 — это последний функциональный релиз. |
| Пример Jira Software 9.12.x, поскольку 9.12.0 — это последний релиз с долгосрочной поддержкой. | |
| Пример Jira Software 9.4.x, поскольку 9.4.0 — это предыдущий релиз с долгосрочной поддержкой. | |
| Jira Service Management | Пример Jira Service Management 5.13.x, поскольку 5.13.0 — это последний функциональный релиз. |
| Пример Jira Service Management 5.12.x, поскольку 5.12.0 — это последний релиз с долгосрочной поддержкой. | |
| Пример Jira Service Management 5.4.x, поскольку 5.4.0 — это предпоследний релиз с долгосрочной поддержкой. | |
| Confluence | Пример Confluence 8.7.x, поскольку 8.7.0 — это последний функциональный релиз. |
| Пример Confluence 8.5.x, поскольку 8.5.0 — это последний релиз с долгосрочной поддержкой. | |
| Пример Confluence 7.19.x, поскольку 7.19.0 — это предпоследний релиз с долгосрочной поддержкой. | |
| Bitbucket | Пример Bitbucket 8.17.x, поскольку 8.17.0 — это последний функциональный релиз. |
| Пример Bitbucket 8.9.x, поскольку 8.9.0 — это последний релиз с долгосрочной поддержкой. | |
| Пример Bitbucket 7.21.x, поскольку 7.21.0 — это предпоследний релиз с долгосрочной поддержкой. | |
| Bamboo | Пример Bamboo 9.5.x, поскольку 9.5.0 — это последний функциональный релиз. |
| Пример Bamboo 9.2.x, поскольку 9.2.0 — это последний релиз с долгосрочной поддержкой. | |
| Crowd | Пример Crowd 5.3.x, поскольку 5.3.0 — это последний функциональный релиз. |
| Fisheye/Crucible | Пример Fisheye/Crucible 4.8.x, поскольку 4.8.0 — это последний функциональный релиз. |
Никакие другие версии продукта не получат новых исправлений багов.
Частые обновления обеспечивают безопасность экземпляров вашего продукта. Рекомендуется использовать последний релиз с исправлением багов в последней функциональной версии вашего продукта или релизе c долгосрочной поддержкой.
Некритические уязвимости
В случае обнаружения проблемы безопасности с высоким, средним или низким уровнем серьезности Atlassian включит в состав следующего планового релиза исправление согласно целям по уровню обслуживания, перечисленным в начале этого документа. При возможности исправление также будет адаптировано для релизов с долгосрочной поддержкой. Возможность адаптации исправления зависит, в частности, от сложных зависимостей, архитектурных изменений и совместимости.
Как только исправление багов становится доступным, рекомендуется обновлять установленные у вас продукты, чтобы устранять все проблемы безопасности, решаемые этим релизом.
Прочая информация
Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни серьезности для проблем безопасности.
Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице.