Close

安全评估


Atlassian Cloud 产品安全测试规则

Atlassian 客户可以对自己的 Atlassian Cloud 产品(定义如下)执行安全评估,而无需事先获得批准。术语“安全评估”是指任何旨在确定、评估或测试 Atlassian 产品与服务的安全功能和控制措施的活动,例如渗透测试和漏洞扫描。本页陈述的规则(“安全测试规则”)适用于希望对其 Atlassian Cloud 产品执行安全评估的客户。Atlassian 用以提供 Cloud 产品的平台(简称“Atlassian Cloud 平台”)使用共享基础设施来托管您的 Cloud 产品和其他客户所拥有的 Cloud 产品。您在操作时必须谨慎,确保所有安全评估仅限于您的 Cloud 产品,同时避免对其他客户造成意外影响。

如本页所述,所有安全评估都必须遵循 Atlassian 安全测试规则。您对 Cloud 产品的使用将继续受 Atlassian 客户协议或购买相关 Cloud 产品所依据的协议(统称“服务条款”)中的其他适用条款和条件的约束。任何违反这些安全测试规则或相关服务条款的行为都可能导致暂停或终止您的帐户和/或针对您的法律行动。对于因违反这些安全测试规则或服务条款而给 Atlassian Cloud 平台造成的任何损害,以及给其他客户数据或 Atlassian Cloud 平台使用带来的任何负面影响,您须承担相关责任。

符合安全评估条件的 Cloud 产品

就本安全测试规则而言,下列产品构成“Cloud 产品”:

  • Jira
  • Jira Service Management
  • Jira Align
  • Jira Work Management
  • Confluence
  • Bitbucket
  • Atlassian Guard
  • Statuspage
  • Trello
  • Opsgenie
  • Halp

安全测试规则

允许的活动

  • 安全评估只能由订阅符合条件的上述 Cloud 产品的 Atlassian 客户执行。
  • 您只能根据有关安全评估的 Atlassian 政策(包括这些安全测试规则)对自己的 Cloud 产品实例执行安全评估
  • 您可以使用自动化工具/扫描程序来执行安全评估;但请记住,我们也会使用这些工具。自动扫描程序的任何结果都必须由客户的安全团队进行审查和分类,然后再将其转发给 Atlassian,并附上可重现的有效概念验证。我们不接受来自安全扫描程序的未分类输出

禁止的活动

  • 扫描、测试或访问不属于您的 Cloud 产品、实例或资产,包括属于任何其他 Atlassian 客户的 Cloud 产品、实例或资产
  • 故意访问任何其他客户的数据(包括访问或使用任何客户的凭证)
  • 非技术性攻击(包括但不限于社交工程、网络钓鱼,或未经授权访问基础设施)
  • 物理安全攻击(包括但不限于 Atlassian 办公室、设备和员工等)
  • 测试既定范围以外的产品
  • 测试 Atlassian 企业基础设施
  • 拒绝服务 (DoS)、分布式拒绝服务 (DDoS)、模拟 DoS、模拟 DDoS
  • 端口泛洪
  • 协议泛洪
  • 请求泛洪(登录请求泛洪、API 请求泛洪)
  • 从漏洞扫描程序或安全评估应用程序提交未经分类的报告

报告问题

如果认为自己发现了与 Atlassian Cloud 产品或其他 Atlassian 服务相关的潜在安全漏洞,您同意按照以下说明在 24 小时内进行报告:报告漏洞。也可以向我们的缺陷赏金计划提交您的发现,但请注意,我们不接受自动扫描程序发现的结果。提交之后,您必须先征求我们的许可,然后才能公开披露问题。安全评估结果被视为 Atlassian 的机密信息。Atlassian 会根据每份报告处理公开披露请求。在客户的问题尚未得到解决前,公开披露请求将被拒绝。

附加条款

尽管故意访问任何其他 Atlassian 客户的数据已被严格禁止,但若您认为发现了敏感的客户数据(例如登录凭证、API 密钥等)或访问客户数据的方法(例如,通过漏洞),请立即向 Atlassian 支持部门提交报告,但请勿尝试验证相关漏洞或以其他方式访问客户的帐户或数据。

除了 Atlassian 有权在您违反这些安全测试规则时暂停或终止您的帐户外,Atlassian 也保留对其网络上任何疑似恶意或以其他方式构成威胁的活动做出响应的权利。如果收到与您安全评估相关的活动的滥用报告,Atlassian 可能会将您的 IP 地址或 IP 地址范围列入黑名单。如果您想联系 Atlassian 支持以解除限制,请提供所报告活动的根本原因,并详细说明您已采取了哪些措施来防止所报告的问题再度发生。

另外,如果您想通知 Atlassian 安全团队您有意执行安全评估,请向 Atlassian 支持部门提交主题为“安全评估意图”的工作单。请注明测试日期和时间范围、源 IP 地址或范围、目标网域和联系人信息。尽管不要求事先通知,但这可帮助我们辨别测试,不会发出网络封锁而可能导致您测试无效。

Atlassian Cloud 产品的合作伙伴和经销商负责其客户的安全评估活动。