Close

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。


范围

本政策描述了我们如何以及何时解决产品中的安全漏洞。

Security bug fix service level objectives (SLOs)

Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限目标:

加速解决目标

These timeframes apply to:

  • 所有基于云的 Atlassian 产品
  • Any software or system managed by Atlassian
  • Any software or system running on Atlassian infrastructure
  • Jira Align, cloud and self-managed releases

Depending on the vulnerability level, we defined the following timelines for applying the fix in a product after verifying:

  • Critical - 14 days
  • High - 28 days
  • Medium - 42 days
  • Low - 175 days

延期解决时限

These timeframe objectives apply to all Data Center Atlassian products. Data center products are installed by customers on customer-managed systems and include Atlassian's Data Center and mobile apps.

  • Critical, High, and Medium severity vulnerabilities to be fixed in a product within 90 days of being verified
  • Low severity vulnerabilities to be fixed in a product within 180 days of being verified

Shared responsibility model

While Atlassian is committed to delivering secure products out of the box, we also rely on a shared responsibility model. This model requires customers to implement practices that continue beyond deployment and extend into operational phases. Some of these responsibilities include:

  • Operating Atlassian software on private networks.
  • Ensuring timely implementation of security fixes once they're released.
  • Configuring Web Application Firewalls (WAF), VPNs, multi-factor authentication, and single sign-on.
  • Implementing encryption and access controls.
  • Performing regular backups.
  • Conducting regular security audits.

严重漏洞

当 Atlassian 发现或第三方报告严重漏洞时,Atlassian 会采取以下各项措施:

  • 对于云产品,我们将尽快为受影响的产品发布新的修复版本
  • 对于自行管理的产品,我们将:
    • Ship a bug fix release for the latest feature release of the affected product.
    • Ship a new feature release for the affected product on the release schedule.
    • 根据 Atlassian 支持终止政策,为受影响产品的所有支持的 LTS 版本发布缺陷修复版本。

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Server and Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

对于 Crowd、Fisheye 和 Crucible,我们将为受影响产品的最新功能版本提供缺陷修复版本。

自行管理产品的严重漏洞修复示例:

如果在 2024 年 2 月 1 日开发了严重漏洞修复,以下是将收到缺陷修复的版本示例:

产品

示例

Jira Software

示例

Jira Software 9.13.x,因为 9.13.0 是最新的功能版本

示例

Jira Software 9.12.x,因为 9.12.0 是最新的“长期支持”版本

示例

Jira Software 9.4.x,因为 9.4.0 是之前的“长期支持”版本

Jira Service Management

示例

Jira Service Management 5.13.x,因为 5.13.0 是最新的功能版本

示例

Jira Service Management 5.12.x,因为 5.12.0 是最新的“长期支持”版本

示例

Jira Service Management 5.4.x,因为 5.4.0 是第二个最新支持的“长期支持”版本

Confluence

示例

Confluence 8.7.x,因为 8.7.0 是最新的功能版本

示例

Confluence 8.5.x,因为 8.5.0 是最新的“长期支持”版本

示例

Confluence 7.19.x,因为 7.19.0 是第二个最新支持的“长期支持”版本

Bitbucket

示例

Bitbucket 8.17.x,因为 8.17.0 是最新的功能版本

示例

Bitbucket 8.9.x,因为 8.9.0 是最新的“长期支持”版本

示例

Bitbucket 7.21.x,因为 7.21.0 是第二个最新支持的“长期支持”版本

Bamboo

示例

Bamboo 9.5.x,因为 9.5.0 是最新的功能版本

示例

Bamboo 9.2.x,因为 9.2.0 是最新的“长期支持”版本

Crowd

示例

Crowd 5.3.x,因为 5.3.0 是最新的功能版本

Fisheye/Crucible

示例

Fisheye/Crucible 4.8.x,因为 4.8.0 是最新的功能版本

没有其他产品版本会收到新的缺陷修复。

频繁升级可确保产品实例的安全性。最佳实践是继续使用最新功能版本或产品的 LTS 版本的最新缺陷修复版本。

非严重漏洞

When a security issue of High, Medium, or Low severity is discovered, Atlassian will aim to release a fix within the service level objectives listed at the beginning of this document. If feasible, the fix may also be backported to Long-Term Support releases. The feasibility of backporting is influenced by a variety of factors, including software dependencies, architectural modifications, and compatibility issues, among others.

To ensure your installations contain the latest security fixes, upgrade them whenever a bug fix release becomes available.

其他信息

漏洞的严重性级别是根据安全问题的严重性级别计算的。

We'll continuously evaluate our policies based on customer feedback and provide any updates or changes on this page.

常见问题

What is a shared responsibility model? Copy link to heading Copied! 显示更多
  

An arrangement between a provider like Atlassian and its customers to implement best practices that persist beyond the initial deployment and extend into the operational phases. For details, check out the Data Center security checklist and shared responsibilities.

What is a Long Term Support release? (example: Jira Software 10.3 LTS) Copy link to heading Copied! 显示更多
  

Long Term Support releases are for Data Center customers who prefer to allow more time for upgrades to new feature releases but still need to receive bug fixes. Some products will designate a specific version as a Long Term Support release, indicating that security bug fixes will be provided throughout the entire two-year support period.

What is a feature release? (example: Jira Software 10.1) Copy link to heading Copied! 显示更多
  

A feature release is a version that hasn’t been designated an LTS release. Instead, it contains new features, changes to supported platforms (such as databases, operating systems, Git versions), or removal of features.

Learn more about the Atlassian Bug Fixing Policy.

What is a bugfix release? (example: Jira Software 10.2.1) Copy link to heading Copied! 显示更多
  

Bug fix releases may include enhancements to stability and performance as well as addressing functionality bugs and security vulnerabilities. Depending on the nature of the fixes, they may introduce minor changes to existing features. However, they don’t include new features or high-risk changes so they can be adopted quickly. We recommend promptly upgrading to the latest bug fix release for your current version.

What is a supported release? Copy link to heading Copied! 显示更多
  

Atlassian supports releases for two years after the initial feature or Long-Term Support (LTS) release. For example, we provide technical support for Jira Software 9.14.x for two years after Jira 9.14.0 was released.

What is a vulnerability? Copy link to heading Copied! 显示更多
  

Vulnerability refers to a weakness or flaw that may be exploited by a threat or risk. In the context of cybersecurity, a vulnerability could be a flaw in software, network, or system that allows unauthorized users to gain access or cause damage. This could include outdated software, weak passwords, or missing data encryption.

什么是安全缺陷修复? Copy link to heading Copied! 显示更多
  

A security bug fix is a set of changes made to a system or application to address vulnerabilities that hackers could exploit. These vulnerabilities, also known as security bugs, could lead to unauthorized access, data theft, or other malicious activities.

在哪里可以找到有关 Data Center 产品中已修复漏洞的更多信息? Copy link to heading Copied! 显示更多
  

Atlassian publishes monthly Security Advisories and provides access to the Vulnerability Disclosure Portal. The Vulnerability Disclosure Portal is a central hub for information about disclosed vulnerabilities in any of our products. It's updated monthly with the release of each Security Bulletin and provides an easy way to search and access data from previous bulletins.