Правила исправления ошибок, связанных с безопасностью
Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.
Область действия
В этой политике описывается, как и когда мы можем устранять уязвимости безопасности в наших продуктах.
Security bug fix service level objectives (SLOs)
Компания Atlassian задает цели по уровню обслуживания для исправления уязвимостей в защите в зависимости от уровня серьезности для безопасности и затронутого продукта. Мы определили следующие временные отрезки для исправления проблем безопасности в наших продуктах.
Цели ускоренного решения проблем
These timeframes apply to:
- на все облачные продукты Atlassian;
- Any software or system managed by Atlassian
- Any software or system running on Atlassian infrastructure
- Jira Align, cloud and self-managed releases
Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:
- Critical - 14 days
- High - 28 days
- Medium - 42 days
- Low - 175 days
Расширенные временные отрезки
These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.
- Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
- Low severity vulnerabilities to be fixed in a product within 180 days of being verified
Shared responsibility model
While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:
- Operating Atlassian software on private networks.
- Ensuring timely implementation of security fixes once they're released.
- Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
- Implementing encryption and access controls.
- Performing regular backups.
- Conducting regular security audits.
Критические уязвимости
При обнаружении компанией Atlassian критической уязвимости или при получении сообщения о таковой от третьего лица компания Atlassian предпринимает следующие действия.
- Для продуктов Cloud мы выпускаем новую исправленную версию соответствующего продукта как можно скорее.
- Для продуктов с самостоятельным управлением мы:
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- выпускаем релиз с исправлением багов для всех поддерживаемых версий соответствующего продукта c долгосрочной поддержкой в соответствии с Правилами Atlassian относительно прекращения поддержки.
Продукт | Правила обновления прошлых релизов | Пример |
---|---|---|
Jira Software Server и Data Center Jira Server and Data Center Jira Service Management Server и Data Center (ранее — Jira Service Desk) | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
Confluence Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
Bitbucket Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного исправления. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс. |
Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов. | Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
Для Crowd, Fisheye и Crucible мы выпускаем релиз с исправлением багов в последней функциональной версии соответствующего продукта.
Примеры исправлений критических уязвимостей для продуктов с самостоятельным управлением.
Если исправление критических уязвимостей выходит 01.02.2024, необходимо выпустить следующие новые версии с исправлениями багов:
Продукт | Пример |
---|---|
Jira Software | Пример Jira Software 9.13.x, поскольку 9.13.0 — это последний функциональный релиз. |
Пример Jira Software 9.12.x, поскольку 9.12.0 — это последний релиз с долгосрочной поддержкой. | |
Пример Jira Software 9.4.x, поскольку 9.4.0 — это предыдущий релиз с долгосрочной поддержкой. | |
Jira Service Management | Пример Jira Service Management 5.13.x, поскольку 5.13.0 — это последний функциональный релиз. |
Пример Jira Service Management 5.12.x, поскольку 5.12.0 — это последний релиз с долгосрочной поддержкой. | |
Пример Jira Service Management 5.4.x, поскольку 5.4.0 — это предпоследний релиз с долгосрочной поддержкой. | |
Confluence | Пример Confluence 8.7.x, поскольку 8.7.0 — это последний функциональный релиз. |
Пример Confluence 8.5.x, поскольку 8.5.0 — это последний релиз с долгосрочной поддержкой. | |
Пример Confluence 7.19.x, поскольку 7.19.0 — это предпоследний релиз с долгосрочной поддержкой. | |
Bitbucket | Пример Bitbucket 8.17.x, поскольку 8.17.0 — это последний функциональный релиз. |
Пример Bitbucket 8.9.x, поскольку 8.9.0 — это последний релиз с долгосрочной поддержкой. | |
Пример Bitbucket 7.21.x, поскольку 7.21.0 — это предпоследний релиз с долгосрочной поддержкой. | |
Bamboo | Пример Bamboo 9.5.x, поскольку 9.5.0 — это последний функциональный релиз. |
Пример Bamboo 9.2.x, поскольку 9.2.0 — это последний релиз с долгосрочной поддержкой. | |
Crowd | Пример Crowd 5.3.x, поскольку 5.3.0 — это последний функциональный релиз. |
Fisheye/Crucible | Пример Fisheye/Crucible 4.8.x, поскольку 4.8.0 — это последний функциональный релиз. |
Никакие другие версии продукта не получат новых исправлений багов.
Частые обновления обеспечивают безопасность экземпляров вашего продукта. Рекомендуется использовать последний релиз с исправлением багов в последней функциональной версии вашего продукта или релизе c долгосрочной поддержкой.
Некритические уязвимости
When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.
To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.
Прочая информация
Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни серьезности для проблем безопасности.
We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.