Close
Quer visualizar esta página no seu idioma?
Todos os idiomas
Escolha seu idioma
Produtos

Destaque

Jira Software

Rastreamento de item e projeto

Confluence

Colaboração no conteúdo

Jira Service Management

ITSM de alta velocidade

Trello

Gerenciamento visual de projetos

Exibir todos os produtos

Marketplace

Conecte milhares de apps e integrações para todos os produtos da Atlassian que você tem

Close dropdown
Soluções

Destaque

Gerenciamento do trabalho

Gerencie projetos e alinhe metas em todas as equipes para alcançar resultados

Gestão de serviços de TI

Permita que as equipes de desenvolvimento, operações de TI e negócios ofereçam um ótimo serviço em alta velocidade

Agilidade e DevOps

Administre uma empresa de software ágil de alto nível, desde a descoberta até a entrega e as operações

Por tamanho da equipe

Empresas

Pequenos negócios

Startup

Organizações sem fins lucrativos

Por função da equipe

Desenvolvimento de software

TI

Finanças

Marketing

RH

Por setor

Varejo

Telecomunicações

Serviços profissionais

Governo

Close dropdown
Recursos

Saiba mais

Atlassian University

Esquema Tático da Atlassian

Documentação do produto

Recursos de desenvolvedores

Suporte

Comunidade da Atlassian

Suporte da Atlassian

Atlassian Migration Program

Serviços corporativos

Suporte ao parceiro

Compras e licenciamentos

Conecte

Quem somos

Carreiras

Blog da Work Life

Eventos

O suporte para os produtos Server termina em 15 de fevereiro de 2024

Com o fim do período de suporte para os produtos de servidor se aproximando, crie um plano bem-sucedido para migração na nuvem com o Atlassian Migration Program.

Avaliar minhas opções

Close dropdown
Search
Experimente agora
Toggle menu
Close search

Informe uma vulnerabilidade

Se você acha ter encontrado um item de segurança que corresponde à definição de vulnerabilidade da Atlassian, envie o relatório para a equipe de segurança por um dos métodos abaixo.

A gente não tem como responder a relatórios em massa gerados por verificadores automáticos. Se você identificar problemas usando um verificador automático, o recomendado é que eles sejam analisados por um profissional de segurança, para garantir a validade do que foi encontrado antes de enviar um relatório de vulnerabilidade para a Atlassian.

Cliente:

Pesquisador de segurança:

Apenas as vulnerabilidades enviadas pelo programa de recompensa por bugs podem receber o pagamento de recompensa.

Inclua estas informações no relatório:

  • Tipo do problema (Cross-site Scripting, SQL Injection, remote code execution, etc.)
  • Produto e versão com o bug ou URL em casos de serviços em nuvem
  • O impacto potencial da vulnerabilidade (ou seja, que dados podem ser acessados ou modificados)
  • Instruções passo a passo para reproduzir o problema
  • Prova de conceito ou código de exploração necessários para a reprodução

Se você quiser criptografar o envio com a chave PGP, baixe aqui.

Definição de vulnerabilidade

A Atlassian considera vulnerabilidade de segurança a falha em um dos produtos ou infraestrutura que pode permitir que um invasor comprometa a confidencialidade, integridade ou disponibilidade do produto ou infraestrutura.

A gente não considera os seguintes tipos de itens como vulnerabilidades de segurança:

  • Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, etc.). Eles são considerados práticas recomendadas de segurança, e, por isso, a gente não considera como vulnerabilidades.
  • Ausência de atributos de segurança em cookies não sigilosos. Os produtos da Atlassian podem definir alguns atributos de segurança em cookies usados pelos aplicativos. A ausência desses cabeçalhos em cookies não sigilosos não é considerada uma vulnerabilidade de segurança.
  • Rastreamento de pilha exposta. A Atlassian não considera que o rastreamento de pilhas por si só seja um problema de segurança. Se você encontrar um rastreamento de pilhas que dê informações pessoais ou de conteúdo gerado pelo usuário, envie um relatório explicando o problema.
  • Injeção de conteúdo por usuários administrativos. A Atlassian permite a injeção de HTML pelos administradores em áreas ou produtos específicos como função de personalização e não considera que essa funcionalidade seja uma vulnerabilidade.
  • Clique em JRASERVER nas páginas do Jira Server ou páginas que contêm apenas conteúdo estático. Veja mais informações em: https://jira.atlassian.com/browse/JRASERVER-25143.
  • Preenchimento automático ativado ou desativado

Programa de recompensa por bugs

A Atlassian opera um programa público de recompensa por bugs nos produtos por meio da parceria com o Bugcrowd. Os pesquisadores de segurança podem receber pagamentos em dinheiro em troca de um relatório de vulnerabilidade qualificado enviado à Atlassian por meio dos programas de recompensa.

Divulgação pública

A Atlassian prioriza a resolução das vulnerabilidades de segurança nos produtos dentro dos prazos identificados na Política de correção de bugs de segurança. A Atlassian faz a divulgação coordenada de vulnerabilidades e solicita, para proteção dos clientes, que qualquer pessoa que relate uma vulnerabilidade faça o mesmo.

Quer saber mais?

Nossa abordagem ao gerenciamento de vulnerabilidades

Abordagem em relação aos testes de segurança externos