安全问题的严重性级别
漏洞来源
- 安全扫描程序工作单,例如 Nexpose 和 Snyk 提交的工作单
- 安全研究人员通过 Bugcrowd 发现的漏洞悬赏结果
- 安全团队在审查中报告的安全漏洞
- Atlassian 员工报告的安全漏洞
严重性框架和评级
Atlassian 将“通用漏洞评分系统 (CVSS)”用作评估安全风险和确定每个已发现漏洞的优先级的方法。CVSS 是一种行业标准漏洞指标。您可在 FIRST.org 上了解有关 CVSS 的更多信息。
严重性级别
Atlassian 安全公告包括严重性级别。此严重性级别基于我们针对每个特定漏洞自行计算的 CVSS 分数。
- 严重
- 高
- 中
- 低
对于 CVSS v3,Atlassian 使用以下严重性评级体系:
CVSS V3 分数范围 | 公告中的严重性 |
|---|---|
| 9.0 - 10.0 | 严重 |
| 7.0 - 8.9 | 高 |
| 4.0 - 6.9 | 中 |
| 0.1 - 3.9 | 低 |
某些情况下,Atlassian 可能会使用与 CVSS 评分无关的其他因素来确定漏洞的严重性级别。CVSS v3.1 规范支持此方法:
消费者可以使用 CVSS 信息作为组织漏洞管理流程的输入,该流程还会考虑不属于 CVSS 的因素,以便对其技术基础架构所面临的威胁进行排名并做出明智的补救决策。此类因素可能包括:产品线上的客户数量、因违规行为造成的金钱损失、生命或财产受到威胁,或是公众对广泛关注的漏洞所持的意见。这些因素不在 CVSS 的范围之内。
在 Atlassian 采用此方法的情况下,我们将说明在公开披露漏洞时考虑了哪些其他因素以及相关原因。
可能导致特定严重性级别的部分漏洞示例如下。请记住,此评级未考虑您的安装细节,且仅应用作指导。
严重性级别:严重
得分在“严重”范围内的漏洞通常具有以下大多数特征:
- 利用此漏洞可能会导致对服务器或基础设施设备的根级入侵。
- 此漏洞利用通常直截了当,即攻击者无需任何特殊身份验证凭据或了解单个受害者,也无需说服目标用户(例如,通过社交工程)执行任何特殊功能。
对于严重漏洞,建议您尽快修补或升级,除非您已有其他缓解措施。例如,如果无法从互联网访问您的安装,则可算作一个缓解因素。
严重性级别:高
评分为“高”范围内的漏洞通常具有以下某些特征:
- 该漏洞很难被利用。
- 利用漏洞可能会导致权限提升。
- 漏洞利用可能会导致严重的数据丢失或停机。
严重性级别:中
评分为“中”范围内的漏洞通常具有以下某些特征:
- 此类漏洞需要攻击者通过社交工程手段来操纵个人受害者。
- 难以设置的拒绝服务漏洞。
- 要求攻击者与受害者驻留在同一本地网络上的漏洞。
- 利用漏洞只能提供非常有限的访问权限。
- 需要用户权限才能成功利用的漏洞。
严重性级别:低
得分处于“低”范围内的漏洞通常对组织的业务影响很小。利用此类漏洞通常需要本地或物理系统访问权限。第三方代码中无法通过 Atlassian 代码访问的漏洞可能会降级为低严重性。
补救时间线
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们已根据我们的安全缺陷修复政策制定修复安全问题的时限。
加速解决时限适用于:
- 所有基于云的 Atlassian 产品
- Jira Align(云端与自行管理版本)
- 由 Atlassian 管理或在 Atlassian 基础架构上运行的任何其他软件或系统
延期解决时限适用于:
- 所有自行管理的 Atlassian 产品
- 此类产品由客户安装在客户管理的系统上
- 其中包括 Atlassian 的 Data Center、桌面应用和移动应用
CVSS 解决时限
严重性级别 | 加速解决时限 | 延期解决时限 |
|---|---|---|
| 严重 | 验证通过后 10 天内 | 通过验证后 90 天内 |
| 高 | 通过验证后 4 周内 | 通过验证后 90 天内 |
| 中 | 验证通过后 12 周内 | 通过验证后 90 天内 |
| 低 | 通过验证后 25 周内 | 通过验证后 180 天内 |