Close

Informe uma vulnerabilidade


Se você acredita ter encontrado um problema de segurança que se encaixe na definição de vulnerabilidade da Atlassian, envie o relatório à equipe de segurança por uma das maneiras abaixo:

Se você é cliente:

Se você é pesquisador de segurança:

Apenas vulnerabilidades enviadas por meio do programa de recompensas por bugs poderão receber um pagamento de recompensa.

Inclua as seguintes informações no relatório:

  • Tipo de problema (cross-site scripting, SQL injection, execução remota de código, etc.)
  • Produto e versão com o bug ou URL, se for um serviço em nuvem
  • O possível impacto da vulnerabilidade (ou seja, quais dados podem ser acessados ou modificados)
  • Instruções passo a passo para reproduzir o problema
  • Códigos de prova de conceito ou de exploração necessários para reproduzir o problema

Se quiser criptografar o envio com a chave PGP da Atlassian, faça o download aqui.

 

Definição de vulnerabilidade

A Atlassian considera vulnerabilidade de segurança a falha em um dos produtos ou infraestrutura que pode permitir que um invasor comprometa a confidencialidade, integridade ou disponibilidade do produto ou infraestrutura.

Não consideramos os seguintes tipos de descobertas como vulnerabilidades de segurança:

  • Presença ou ausência de cabeçalhos HTTP (X-Frame-Options, CSP, nosniff, etc.). Essas são consideradas práticas recomendadas de segurança e, portanto, não são classificadas como vulnerabilidades.
  • Ausência de atributos relacionados à segurança em cookies não sigilosos. Os produtos Atlassian podem definir certos atributos relacionados à segurança nos cookies usados em nossos aplicativos. A ausência desses cabeçalhos em cookies não sigilosos não é considerada vulnerabilidade de segurança.
  • Rastreamentos de pilha expostos. Não consideramos os rastreamentos de pilha um problema de segurança. Se você achar que um rastreamento de pilha pormenoriza informações de identificação pessoal ou conteúdo gerado pelo usuário, envie um relatório detalhando o problema.
  • Falsificação de conteúdo por usuários administrativos.  Os administradores podem injetar HTML em áreas específicas dos nossos produtos, como um recurso de personalização, o que não é considerado vulnerabilidade.
  • Clickjacking em páginas do Jira Server ou em páginas que contêm apenas conteúdo estático.Para obter mais detalhes, acesse https://jira.atlassian.com/browse/JRASERVER-25143.
  • Preenchimento automático ativado ou desativado

Também não podemos responder a relatórios em massa gerados por scanners automatizados. Se você identificar problemas ao utilizar um scanner automatizado, é recomendável que um profissional de segurança analise os problemas e garanta que as descobertas sejam válidas antes de enviar um relatório de vulnerabilidade à Atlassian.

 

Programa de recompensa por bugs

A Atlassian opera um programa público de recompensa por bugs para os produtos através do nosso parceiro, Bugcrowd. Os pesquisadores de segurança podem receber pagamentos em dinheiro em troca de um relatório de vulnerabilidade qualificado enviado à Atlassian por meio dos programas de recompensa.

 

Divulgação pública

A Atlassian prioriza a resolução das vulnerabilidades de segurança nos produtos dentro dos prazos identificados na Política de correção de bugs de segurança. A Atlassian faz a divulgação coordenada de vulnerabilidades e solicita, para proteção dos clientes, que qualquer pessoa que relate uma vulnerabilidade faça o mesmo.