安全缺陷修复政策
Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。
范围
本政策描述了我们如何以及何时解决产品中的安全漏洞。
安全缺陷修复服务级别目标 (SLO)
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限目标:
加速解决目标
以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础架构中运行的所有其他软件或系统。它们也适用于 Jira Align(云版本和自行管理版本)。
- 严重漏洞将在验证后 10 天内在产品中修复
- 严重性为高的漏洞于验证之日起 28 天内在相关产品中修复
- 中级漏洞将在验证后 84 天内在产品中修复
- 严重性为低的漏洞于验证之日起 175 天内在相关产品中修复
延期解决时限
以下时限目标适用于所有自行管理的 Atlassian 产品。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的 Data Center 和移动应用。
- 严重性为严重、高和中的漏洞于验证之日起 90 天内在相关产品中修复
- 严重性为低的漏洞于验证之日起 180 天内在相关产品中修复
严重漏洞
当 Atlassian 发现或第三方报告严重漏洞时,Atlassian 会采取以下各项措施:
- 对于云产品,我们将尽快为受影响的产品发布新的修复版本
- 对于自行管理的产品,我们将:
- 为受影响产品的最新功能版本发布缺陷修复版本
- 按照发布计划为受影响的产品发布新的功能版本
- 根据 Atlassian 支持终止政策,为受影响产品的所有支持的 LTS 版本发布缺陷修复版本。
产品 | 向后移植策略 | 示例 |
|---|---|---|
| Jira Software Server 和 Data Center Jira Core Server 和 Data Center Jira Service Management Server 和 Data Center(先前为 Jira Service Desk) | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
| Confluence Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
| Bitbucket Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期已超过 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。 |
| 我们只会为当前和上一功能版本发布新的缺陷修复版本。 | 例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
对于 Crowd、Fisheye 和 Crucible,我们将为受影响产品的最新功能版本提供缺陷修复版本。
自行管理产品的严重漏洞修复示例:
如果在 2024 年 2 月 1 日开发了严重漏洞修复,以下是将收到缺陷修复的版本示例:
产品 | 示例 |
|---|---|
| Jira Software | 示例 Jira Software 9.13.x,因为 9.13.0 是最新的功能版本 |
| 示例 Jira Software 9.12.x,因为 9.12.0 是最新的“长期支持”版本 | |
| 示例 Jira Software 9.4.x,因为 9.4.0 是之前的“长期支持”版本 | |
| Jira Service Management | 示例 Jira Service Management 5.13.x,因为 5.13.0 是最新的功能版本 |
| 示例 Jira Service Management 5.12.x,因为 5.12.0 是最新的“长期支持”版本 | |
| 示例 Jira Service Management 5.4.x,因为 5.4.0 是第二个最新支持的“长期支持”版本 | |
| Confluence | 示例 Confluence 8.7.x,因为 8.7.0 是最新的功能版本 |
| 示例 Confluence 8.5.x,因为 8.5.0 是最新的“长期支持”版本 | |
| 示例 Confluence 7.19.x,因为 7.19.0 是第二个最新支持的“长期支持”版本 | |
| Bitbucket | 示例 Bitbucket 8.17.x,因为 8.17.0 是最新的功能版本 |
| 示例 Bitbucket 8.9.x,因为 8.9.0 是最新的“长期支持”版本 | |
| 示例 Bitbucket 7.21.x,因为 7.21.0 是第二个最新支持的“长期支持”版本 | |
| Bamboo | 示例 Bamboo 9.5.x,因为 9.5.0 是最新的功能版本 |
| 示例 Bamboo 9.2.x,因为 9.2.0 是最新的“长期支持”版本 | |
| Crowd | 示例 Crowd 5.3.x,因为 5.3.0 是最新的功能版本 |
| Fisheye/Crucible | 示例 Fisheye/Crucible 4.8.x,因为 4.8.0 是最新的功能版本 |
没有其他产品版本会收到新的缺陷修复。
频繁升级可确保产品实例的安全性。最佳实践是继续使用最新功能版本或产品的 LTS 版本的最新缺陷修复版本。
非严重漏洞
当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复。可行时,此修复也可能向后移植到“长期支持”版本。向后移植的可行性取决于复杂的依赖关系、体系结构变化和兼容性等因素。
有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。