报告漏洞
如果您认为发现了安全问题并且符合 Atlassian 的漏洞定义,请通过以下任一方式将报告提交给我们的安全团队。
我们无法回复由自动扫描程序生成的批量报告。如果您使用自动扫描程序发现了问题,建议您在向 Atlassian 提交漏洞报告之前,先让安全专业人员检查问题并确保发现结果有效。
如果您是客户:
- 向我们的支持团队提交工作单
如果您是安全研究人员:
- 通过我们的缺陷赏金计划提交报告;或
- 发送电子邮件到 security@atlassian.com
只有通过缺陷赏金计划提交的漏洞才有资格获得赏金。
请在报告中附上以下信息:
- 问题的类型(跨站点脚本执行、SQL 注入、远程代码执行等)
- 缺陷涉及的产品和版本;如果与某一云服务相关,则注明 URL
- 漏洞的潜在影响(即,可以访问或修改哪些数据)
- 重现问题的分步骤说明
- 重现问题所需的所有概念验证或代码利用
如果您希望使用我们的 PGP 密钥加密提交内容,请从此处下载。
漏洞定义
Atlassian 认为,安全漏洞是我们某一产品或基础设施中的薄弱之处,可能会让攻击者影响该产品或基础设施的机密性、完整性或可用性。
我们认为以下类型的发现不属于安全漏洞:
- 存在或缺少 HTTP 标头(X-Frame-Options、CSP、nosniff,等等)。 它们被视为安全最佳实践,因此我们未将其归类为漏洞。
- 非敏感 Cookie 缺少与安全相关的属性。Atlassian 产品可能会对我们应用程序中使用的 Cookie 设置某些安全相关的属性。非敏感 Cookie 上没有这些标头不会视为安全漏洞。
- 暴露堆栈轨迹。我们不认为堆栈轨迹本身是安全问题。如果您发现某一堆栈轨迹详细说明了个人身份信息或用户生成的内容,请提交详述具体问题的报告。
- 管理用户执行的内容欺骗。我们允许管理员将 HTML 注入我们产品的特定区域,以作为一种自定义功能,且不认为此功能属于漏洞。
- Jira Server 中的页面或仅含静态内容的页面上的点击劫持。有关更多详情,请参见 - https://jira.atlassian.com/browse/JRASERVER-25143。
- 启用或禁用自动补全
安全港
在根据本政策进行漏洞研究时,我们认为这项研究:
- 根据《计算机欺诈和滥用法》(CFAA)(和/或类似的州法律)授权,我们不会对您意外、善意违反本政策的行为提起或支持法律诉讼;
- 不受《数字千年版权法》(DMCA) 的约束,我们不会以规避技术控制为由对您提出索赔;
- 不受我们的条款和条件中会妨碍开展安全研究的那些限制的约束,对于根据本政策开展的工作,我们将在有限的基础上免除这些限制;以及
- 合法,有助于互联网的整体安全,并且本着诚意行事。
您应一如既往地遵守所有适用法律。
不论何时,如果您有任何疑问或不确定您的安全研究是否符合本政策,请通过 security@atlassian.com 与我们联系,我们将很乐意解答您的问题。
缺陷赏金计划
Atlassian 通过合作伙伴 BugCrowd 为我们的产品实施一项公共缺陷赏金计划。安全研究人员可以通过缺陷赏金计划向 Atlassian 提交合格的漏洞报告,来换得相应的现金款项。
公开披露
Atlassian 将解决我们产品中的任何安全漏洞视为一项优先任务,并会在安全缺陷修复政策中所述的时限内解决。Atlassian 按照协调一致的方式披露漏洞,为保护我们的客户,也恳请向我们报告漏洞的人员照此执行。