安全缺陷修复政策
Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。
范围
本政策描述了我们如何以及何时解决产品中的安全漏洞。
Security bug fix service level objectives (SLOs)
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限目标:
加速解决目标
These timeframes apply to:
- 所有基于云的 Atlassian 产品
- Any software or system managed by Atlassian
- Any software or system running on Atlassian infrastructure
- Jira Align, cloud and self-managed releases
Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:
- Critical - 14 days
- High - 28 days
- Medium - 42 days
- Low - 175 days
延期解决时限
These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.
- Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
- Low severity vulnerabilities to be fixed in a product within 180 days of being verified
Shared responsibility model
While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:
- Operating Atlassian software on private networks.
- Ensuring timely implementation of security fixes once they're released.
- Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
- Implementing encryption and access controls.
- Performing regular backups.
- Conducting regular security audits.
严重漏洞
当 Atlassian 发现或第三方报告严重漏洞时,Atlassian 会采取以下各项措施:
- 对于云产品,我们将尽快为受影响的产品发布新的修复版本
- 对于自行管理的产品,我们将:
- Ship a bug fix release for the latest feature release of the affected product.
- Ship a new feature release for the affected product on the release schedule.
- 根据 Atlassian 支持终止政策,为受影响产品的所有支持的 LTS 版本发布缺陷修复版本。
产品 | 向后移植策略 | 示例 |
|---|---|---|
| Jira Software Server 和 Data Center Jira Server and Data Center Jira Service Management Server 和 Data Center(前身为 Jira Service Desk) | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
| Confluence Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
| Bitbucket Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。 |
| 我们只会为当前和上一功能版本发布新的缺陷修复版本。 | 例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
对于 Crowd、Fisheye 和 Crucible,我们将为受影响产品的最新功能版本提供缺陷修复版本。
自行管理产品的严重漏洞修复示例:
如果在 2024 年 2 月 1 日开发了严重漏洞修复,以下是将收到缺陷修复的版本示例:
产品 | 示例 |
|---|---|
| Jira Software | 示例 Jira Software 9.13.x,因为 9.13.0 是最新的功能版本 |
| 示例 Jira Software 9.12.x,因为 9.12.0 是最新的“长期支持”版本 | |
| 示例 Jira Software 9.4.x,因为 9.4.0 是之前的“长期支持”版本 | |
| Jira Service Management | 示例 Jira Service Management 5.13.x,因为 5.13.0 是最新的功能版本 |
| 示例 Jira Service Management 5.12.x,因为 5.12.0 是最新的“长期支持”版本 | |
| 示例 Jira Service Management 5.4.x,因为 5.4.0 是第二个最新支持的“长期支持”版本 | |
| Confluence | 示例 Confluence 8.7.x,因为 8.7.0 是最新的功能版本 |
| 示例 Confluence 8.5.x,因为 8.5.0 是最新的“长期支持”版本 | |
| 示例 Confluence 7.19.x,因为 7.19.0 是第二个最新支持的“长期支持”版本 | |
| Bitbucket | 示例 Bitbucket 8.17.x,因为 8.17.0 是最新的功能版本 |
| 示例 Bitbucket 8.9.x,因为 8.9.0 是最新的“长期支持”版本 | |
| 示例 Bitbucket 7.21.x,因为 7.21.0 是第二个最新支持的“长期支持”版本 | |
| Bamboo | 示例 Bamboo 9.5.x,因为 9.5.0 是最新的功能版本 |
| 示例 Bamboo 9.2.x,因为 9.2.0 是最新的“长期支持”版本 | |
| Crowd | 示例 Crowd 5.3.x,因为 5.3.0 是最新的功能版本 |
| Fisheye/Crucible | 示例 Fisheye/Crucible 4.8.x,因为 4.8.0 是最新的功能版本 |
没有其他产品版本会收到新的缺陷修复。
频繁升级可确保产品实例的安全性。最佳实践是继续使用最新功能版本或产品的 LTS 版本的最新缺陷修复版本。
非严重漏洞
When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.
To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.
其他信息
漏洞的严重性级别是根据安全问题的严重性级别计算的。
We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.