Сообщить об уязвимости
Если вы считаете, что нашли проблему безопасности, подходящую под определение уязвимости Atlassian, отправьте отчет нашей команде по обеспечению безопасности одним из перечисленных ниже способов.
Мы не можем реагировать на пакетные отчеты, сформированные автоматическими сканерами. При обнаружении проблем с помощью автоматического сканера рекомендуется перед отправкой отчета об уязвимостях в Atlassian обратиться к специалисту по безопасности. Такой специалист сможет проверить результаты и подтвердить, что наблюдаемые проблемы действительно угрожают безопасности.
Для клиентов:
- отправьте заявку нашей команде поддержки.
Для исследователей по вопросам безопасности:
- отправьте отчет в рамках нашей программы вознаграждения за найденные ошибки или
- отправьте письмо на адрес security@atlassian.com.
Вознаграждение выдается только за уязвимости, отправленные в рамках программы вознаграждения за найденные ошибки.
Укажите в отчете следующую информацию:
- тип проблемы (межсайтовый скриптинг, инъекция SQL, удаленное выполнение кода и т. д.);
- версия и название продукта, в которых наблюдается ошибка, или URL-адрес, если дело касается облачного сервиса;
- возможные последствия уязвимости (например, какие данные можно просмотреть или изменить);
- пошаговая инструкция для воспроизведения проблемы;
- любой экспериментальный или вредоносный код для воспроизведения проблемы.
Если вам нужно зашифровать отправляемые данные с помощью нашего ключа PGP, загрузите его здесь.
Определение уязвимости
В Atlassian уязвимостью безопасности считается слабое место в том или ином продукте или элементе инфраструктуры, которое позволяет злоумышленнику повлиять на целостность или доступность наших продуктов или инфраструктуры, а также на конфиденциальность их данных.
Следующие результаты не считаются Atlassian уязвимостями безопасности.
- Наличие или отсутствие HTTP-заголовков (X-Frame-Options, CSP, nosniff и т. д.). Эти заголовки относятся к рекомендациям по обеспечению безопасности и не считаются уязвимостями в Atlassian.
- Отсутствие атрибутов безопасности в неконфиденциальных cookie-файлах. В продуктах Atlassian определенные атрибуты безопасности могут указываться для cookie-файлов наших приложений. Отсутствие таких заголовков в неконфиденциальных cookie-файлах не считается уязвимостью безопасности.
- Открытые трассировки стека. Мы не считаем, что трассировка стека сама по себе угрожает безопасности. Если вы обнаружили при трассировке стека данные, позволяющие установить личность пользователя или созданное пользователями содержимое, отправьте отчет о проблеме и приложите подробное описание.
- Подмена содержимого пользователями с правами администратора. Администраторам разрешается внедрять HTML-код в определенные части некоторых наших продуктов, если это расширяет возможности персонализации. Такая функциональная возможность не считается уязвимостью.
- Кликджекинг на страницах, имеющих только статическое содержимое или размещенных на Jira Server. Дополнительные сведения см. на странице https://jira.atlassian.com/browse/JRASERVER-25143.
- Включение или отключение автозаполнения.
Публичное разглашение
Одна из ценностей компании Atlassian звучит как «открытая компания, никакой ерунды» и проявляется в том числе в раскрытии уязвимостей. Мы придерживаемся целей по уровню обслуживания при устранении уязвимостей в защите, указанных здесь, и будем принимать запросы на раскрытие информации в рамках программы вознаграждения за найденные ошибки после того, как проблема будет исправлена и выпущена в рабочую среду. Однако если в отчете содержатся данные клиентов или сведения о клиентском экземпляре, такой запрос будет отклонен. Просим своевременно уведомить нас и дождаться окончания соответствующей цели по уровню обслуживания. Обратите внимание, что мы не предоставляем вознаграждение при отправке заявки по электронной почте. Чтобы ознакомиться с нашей программой вознаграждения за найденные ошибки, перейдите сюда.
Правило безопасной гавани
Проводя исследование уязвимостей в соответствии с настоящей политикой, мы считаем, что это исследование:
- разрешено в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях (Computer Fraud and Abuse Act, CFAA) (и/или аналогичным законодательством штата), и мы не будем возбуждать или поддерживать судебный иск против вас за случайное добросовестное нарушение этой политики;
- не подпадает под действие Закона об авторском праве в цифровую эпоху (Digital Millennium Copyright Act, DMCA), и мы не будем возбуждать против вас иск за обход средств технологического контроля;
- освобождено от ограничений, изложенных в наших Условиях и положениях, которые могут помешать проведению исследования в области безопасности, и мы частично снимаем эти ограничения в отношении работы, выполняемой в соответствии с этой политикой;
- является законным, способствует общей безопасности Интернета и проводится добросовестно.
Как и всегда, от вас ожидают соблюдения всех применимых законов.
Если в какой-то момент у вас возникнут сомнения относительно того, соответствует ли ваше исследование безопасности этой политике, свяжитесь с нами по адресу security@atlassian.com, и мы с радостью ответим на ваши вопросы.
Программа вознаграждения за найденные ошибки
Atlassian проводит открытую программу по выявлению ошибок в наших продуктах с участием партнера — Bugcrowd. Исследователи по вопросам безопасности могут получить денежное вознаграждение в обмен на соответствующий требованиям программы отчет об уязвимости, отправленный Atlassian в рамках наших программ вознаграждения.
Публичное разглашение
Atlassian считает исправление ошибок, связанных с безопасностью продуктов, основным приоритетом и стремится выполнять эту работу в сроки, обозначенные в наших Правилах исправления ошибок безопасности. Atlassian координирует раскрытие уязвимостей и требует от всех участников сохранять конфиденциальность этих сведений в целях защиты интересов наших пользователей.