Close

Правила исправления ошибок, связанных с безопасностью

Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.


Область действия

В этой политике описывается, как и когда мы можем устранять уязвимости безопасности в наших продуктах.

Security bug fix service level objectives (SLOs)

Компания Atlassian задает цели по уровню обслуживания для исправления уязвимостей в защите в зависимости от уровня серьезности для безопасности и затронутого продукта. Мы определили следующие временные отрезки для исправления проблем безопасности в наших продуктах.

Цели ускоренного решения проблем

These timeframes apply to:

  • на все облачные продукты Atlassian;
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

Расширенные временные отрезки

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

Критические уязвимости

При обнаружении компанией Atlassian критической уязвимости или при получении сообщения о таковой от третьего лица компания Atlassian предпринимает следующие действия.

  • Для продуктов Cloud мы выпускаем новую исправленную версию соответствующего продукта как можно скорее.
  • Для продуктов с самостоятельным управлением мы:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • выпускаем релиз с исправлением багов для всех поддерживаемых версий соответствующего продукта c долгосрочной поддержкой в соответствии с Правилами Atlassian относительно прекращения поддержки.

Продукт
Правила обновления прошлых релизов
Пример

Jira Software Server и Data Center

Jira Server and Data Center

Jira Service Management Server и Data Center (ранее — Jira Service Desk)

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Jira 8.6.x, поскольку версия 8.6.0 была выпущена 17 декабря 2019 г.;
  • Jira 8.5.x, поскольку версия 8.5.0 была выпущена 21 октября 2019 г.;
  • Jira 8.4.x, поскольку версия 8.4.0 была выпущена 9 сентября 2019 г.;
  • Jira 8.3.x, поскольку версия 8.3.0 была выпущена 22 июля 2019 г.;
  • Jira 7.13.x, поскольку 7.13 — это версия с долгосрочной поддержкой, а версия 7.13.0 была выпущена 28 ноября 2018 г.

Confluence Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Confluence 7.2.x, поскольку версия 7.2.0 была выпущена 12 декабря 2019 г.;
  • Confluence 7.1.x, поскольку версия 7.1.0 была выпущена 4 ноября 2019 г.;
  • Confluence 7.0.x, поскольку версия 7.0.0 была выпущена 10 сентября 2019 г.;
  • Confluence 6.13.x, поскольку 6.13 — это версия с долгосрочной поддержкой, а версия 6.13.0 была выпущена 4 декабря 2018 г.

Bitbucket Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bitbucket 6.9.x, поскольку версия 6.9.0 была выпущена 10 декабря 2019 г.;
  • Bitbucket 6.8.x, поскольку версия 6.8.0 была выпущена 6 ноября 2019 г.;
  • Bitbucket 6.7.x, поскольку версия 6.7.0 была выпущена 1 октября 2019 г.;
  • Bitbucket 6.6.x, поскольку версия 6.6.0 была выпущена 27 августа 2019 г.;
  • Bitbucket 6.5.x, поскольку версия 6.5.0 была выпущена 24 июля 2019 г.

Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного исправления. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс.

Все остальные продукты (Bamboo, Crucible, Fisheye и т. д.)

Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов.

Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bamboo 6.10.x, поскольку это текущая версия и она была выпущена 17 сентября 2019 г.;
  • Bamboo 6.9.x, поскольку версия 6.9.0 является предыдущей версией.

Для Crowd, Fisheye и Crucible мы выпускаем релиз с исправлением багов в последней функциональной версии соответствующего продукта.

Примеры исправлений критических уязвимостей для продуктов с самостоятельным управлением.

Если исправление критических уязвимостей выходит 01.02.2024, необходимо выпустить следующие новые версии с исправлениями багов:

Продукт

Пример

Jira Software

Пример

Jira Software 9.13.x, поскольку 9.13.0 — это последний функциональный релиз.

Пример

Jira Software 9.12.x, поскольку 9.12.0 — это последний релиз с долгосрочной поддержкой.

Пример

Jira Software 9.4.x, поскольку 9.4.0 — это предыдущий релиз с долгосрочной поддержкой.

Jira Service Management

Пример

Jira Service Management 5.13.x, поскольку 5.13.0 — это последний функциональный релиз.

Пример

Jira Service Management 5.12.x, поскольку 5.12.0 — это последний релиз с долгосрочной поддержкой.

Пример

Jira Service Management 5.4.x, поскольку 5.4.0 — это предпоследний релиз с долгосрочной поддержкой.

Confluence

Пример

Confluence 8.7.x, поскольку 8.7.0 — это последний функциональный релиз.

Пример

Confluence 8.5.x, поскольку 8.5.0 — это последний релиз с долгосрочной поддержкой.

Пример

Confluence 7.19.x, поскольку 7.19.0 — это предпоследний релиз с долгосрочной поддержкой.

Bitbucket

Пример

Bitbucket 8.17.x, поскольку 8.17.0 — это последний функциональный релиз.

Пример

Bitbucket 8.9.x, поскольку 8.9.0 — это последний релиз с долгосрочной поддержкой.

Пример

Bitbucket 7.21.x, поскольку 7.21.0 — это предпоследний релиз с долгосрочной поддержкой.

Bamboo

Пример

Bamboo 9.5.x, поскольку 9.5.0 — это последний функциональный релиз.

Пример

Bamboo 9.2.x, поскольку 9.2.0 — это последний релиз с долгосрочной поддержкой.

Crowd

Пример

Crowd 5.3.x, поскольку 5.3.0 — это последний функциональный релиз.

Fisheye/Crucible

Пример

Fisheye/Crucible 4.8.x, поскольку 4.8.0 — это последний функциональный релиз.

Никакие другие версии продукта не получат новых исправлений багов.

Частые обновления обеспечивают безопасность экземпляров вашего продукта. Рекомендуется использовать последний релиз с исправлением багов в последней функциональной версии вашего продукта или релизе c долгосрочной поддержкой.

Некритические уязвимости

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

Прочая информация

Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни серьезности для проблем безопасности.

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

Часто задаваемые вопросы

What is a shared responsibility model? Copy link to heading Copied! Показать +
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.

What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! Показать +
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.

What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! Показать +
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.

What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! Показать +
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.

What is a supported release? Copy link to heading Copied! Показать +
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.

What is a vulnerability? Copy link to heading Copied! Показать +
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.

Что такое исправление бага безопасности? Copy link to heading Copied! Показать +
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

Где можно найти дополнительную информацию об устраненных уязвимостях в продуктах Data Center? Copy link to heading Copied! Показать +
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.