Informe uma vulnerabilidade
Se você acha ter encontrado um item de segurança que corresponde à definição de vulnerabilidade da Atlassian, envie o relatório para a equipe de segurança por um dos métodos abaixo.
A gente não tem como responder a relatórios em massa gerados por verificadores automáticos. Se você identificar problemas usando um verificador automático, o recomendado é que eles sejam analisados por um profissional de segurança, para garantir a validade do que foi encontrado antes de enviar um relatório de vulnerabilidade para a Atlassian.
Cliente:
- Envie um chamado para a equipe de suporte
Pesquisador de segurança:
- Envie o relatório pelo programa de recompensa por bugs; ou
- Mande um e-mail para security@atlassian.com
Apenas as vulnerabilidades enviadas pelo programa de recompensa por bugs podem receber o pagamento de recompensa.
Inclua estas informações no relatório:
- Tipo do problema (Cross-site Scripting, SQL Injection, remote code execution, etc.)
- Produto e versão com o bug ou URL em casos de serviços em nuvem
- O impacto potencial da vulnerabilidade (ou seja, que dados podem ser acessados ou modificados)
- Instruções passo a passo para reproduzir o problema
- Prova de conceito ou código de exploração necessários para a reprodução
Se você quiser criptografar o envio com a chave PGP, baixe aqui.
Definição de vulnerabilidade
A Atlassian considera vulnerabilidade de segurança a falha em um dos produtos ou infraestrutura que pode permitir que um invasor comprometa a confidencialidade, integridade ou disponibilidade do produto ou infraestrutura.
A gente não considera os seguintes tipos de itens como vulnerabilidades de segurança:
- Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, etc.). Eles são considerados práticas recomendadas de segurança, e, por isso, a gente não considera como vulnerabilidades.
- Ausência de atributos de segurança em cookies não sigilosos. Os produtos da Atlassian podem definir alguns atributos de segurança em cookies usados pelos aplicativos. A ausência desses cabeçalhos em cookies não sigilosos não é considerada uma vulnerabilidade de segurança.
- Rastreamento de pilha exposta. A Atlassian não considera que o rastreamento de pilhas por si só seja um problema de segurança. Se você descobrir que um rastreamento de pilhas dá informações pessoais ou de conteúdo gerado pelo usuário, envie um relatório explicando o problema.
- Injeção de conteúdo por usuários administrativos. A Atlassian permite a injeção de HTML pelos administradores em áreas ou produtos específicos como função de personalização e não considera que essa funcionalidade seja uma vulnerabilidade.
- Preenchimento automático ativado ou desativado
Divulgação pública
Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A Atlassian se compromete com os objetivos de nível de serviço de atualização de segurança, encontrados aqui, e vai aceitar solicitações de divulgação no programa de recompensas por bugs depois que o problema tenha sido corrigido e colocado em produção. No entanto, se o relatório contiver alguma informação sobre a instância ou os dados de um cliente, a solicitação vai ser rejeitada. É necessário fazer a solicitação com antecedência razoável e aguardar até que o SLO associado seja aprovado. Não são oferecidas recompensas pelo envio por e-mail. Se você está procurando o Programa de Recompensas por Bugs, clique aqui.
Porto seguro
Ao conduzir pesquisas de vulnerabilidade de acordo com esta política, a gente considera que essa pesquisa é:
- Autorizada de acordo com a Lei de Fraude e Abuso de Computadores (CFAA) (e/ou leis estaduais similares), e a gente não vai abrir ou apoiar ações legais contra você por violações acidentais e de boa fé desta política;
- Isenta da Lei de Direitos Autorais do Milênio Digital (DMCA), e não vai ser apresentada uma reclamação contra você por contornar os controles de tecnologia;
- Isenta das restrições nos Termos e Condições que possam interferir na elaboração de pesquisas de segurança, e a Atlassian renuncia em parte a essas restrições pelo trabalho feito de acordo com esta política; e
- Legal, útil para a segurança geral da Internet e conduzida de boa fé.
É esperado, como sempre, que você cumpra todas as leis vigentes.
Se, a qualquer momento, você tiver dúvidas ou não tiver certeza se a pesquisa de segurança é consistente com esta política, entre em contato com a Atlassian em e-mail security@atlassian.com e a gente vai ter o prazer em responder as perguntas.
Programa de recompensa por bugs
A Atlassian opera um programa público de recompensa por bugs nos produtos por meio da parceria com o Bugcrowd. Os pesquisadores de segurança podem receber pagamentos em dinheiro em troca de um relatório de vulnerabilidade qualificado enviado à Atlassian por meio dos programas de recompensa.
Divulgação pública
A Atlassian prioriza a resolução das vulnerabilidades de segurança nos produtos dentro dos prazos identificados na Política de correção de bugs de segurança. A Atlassian faz a divulgação coordenada de vulnerabilidades e solicita, para proteção dos clientes, que qualquer pessoa que relate uma vulnerabilidade faça o mesmo.