Close

Abordagem em relação aos testes de segurança externos


Boas-vindas ao hub de testes de segurança, dedicado a oferecer informações abrangentes sobre as iniciativas de testes de segurança implementadas pela Atlassian para garantir a segurança e a proteção dos produtos e clientes.

Procurando por algo específico? Acelere sua pesquisa usando um dos links abaixo ou continue lendo para se aprofundar no programa de testes de segurança externa da Atlassian.

A Atlassian adota uma abordagem multifacetada em relação à garantia de segurança externa dos produtos. A gente tem um modelo sempre ativo e sempre em teste que usa recompensas por bugs de origem coletiva. Esse modelo é complementado por testes regulares de intrusão de caixa branca feitos por consultorias de segurança externas e pela equipe interna de testes de segurança.

Filosofia e abordagem da Atlassian

A Atlassian é muito conhecida por seus valores, que influenciam mesmo tudo o que a gente faz — incluindo a abordagem para testes de segurança. Na prática, esses valores conduzem até as seguintes filosofias e abordagens:

  • Bugs são uma parte inevitável do processo de desenvolvimento. A questão não é se eles existem, mas se a gente consegue encontrar e corrigir os bugs com eficiência e rapidez. Não é que a gente goste de bugs ou não esteja criando maneiras novas de reduzir a frequência e gravidade desses problemas. Quando se trata de bugs de software, a negação não é uma abordagem eficaz.
  • A Atlassian apoia e usa os padrões da indústria. A padronização na terminologia e abordagem ajuda a garantir que a gente não está esquecendo de nada e ajuda os clientes a entender o que e por que a gente faz. Por exemplo, as classificações de vulnerabilidades padrão usando o Common Vulnerability Scoring System (CVSS) garantem clareza na compreensão da gravidade de vulnerabilidades específicas para a gente e os clientes. Os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA) também são seguidos.
  • Os pesquisadores de segurança e os testadores de intrusão terceirizados são uma extensão valiosa da equipe: se um produto da Atlassian apresentar alguma vulnerabilidade, é do interesse de todos – da Atlassian e dos clientes — que ela seja encontrada e corrigida o mais rápido possível.
    • Todo ano, a Atlassian contrata testadores de intrusão terceirizados para encontrar vulnerabilidades de segurança nos produtos e suplementar a equipe de segurança interna em compromissos que exigem conjuntos de habilidades especializadas.
    • A Atlassian também incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos por meio de prêmios em dinheiro do programa de recompensas por bugs. Com a ajuda dos pesquisadores de segurança externos, é possível aumentar o nível da equipe muito além das abordagens tradicionais!
  • A Atlassian é aberta e transparente sobre o programa de testes de segurança. A gente divulga Cartas de Avaliação (LoA) sobre os testes de intrusão feitos nos produtos e estatísticas sobre bugs encontrados no Programa de Recompensas por Bugs abaixo.

Garantia de segurança contínua

Teste de intrusão

A gente usa empresas especializadas em serviços de segurança para fazer testes de intrusão nos produtos e outros sistemas. Além disso, a Atlassian tem uma equipe interna de testes de segurança que trabalha em colaboração com consultores terceirizados para garantir a segurança técnica de projetos de alta prioridade, como uma nova função de produto (ex.: quadro branco do Confluence), nova configuração de infraestrutura (ex.: o ambiente FedRAMP) ou rearquitetura (ex.: novo tempo de execução do Forge).

Nesses casos, a Atlassian tem uma abordagem para testes de intrusão direcionada e focada. Os testes são:

  • Caixa branca — Os testadores recebem a documentação do projeto e as instruções dos engenheiros de produto, além de formas de entrar em contato em caso de dúvidas durante o contrato de suporte aos testes
  • Código assistido - os testadores vão ter acesso completo à base de códigos relevantes para ajudar a diagnosticar qualquer comportamento inesperado do sistema durante o teste e para identificar potenciais alvos
  • Com base em ameaças — O teste aborda um cenário de ameaça específico, como imaginar que uma instância foi comprometida e testar movimentos laterais a partir desse ponto inicial
  • Orientado por metodologia — Os testadores usam uma série de táticas personalizadas de teste de caixa branca, desenvolvidas com base em metodologias reconhecidas pelo setor, como o Projeto Aberto de Segurança em Aplicações Web (OWASP). Isso garante que os testes levem em conta as ameaças exclusivas da infraestrutura e das tecnologias da Atlassian.

A gente publica Cartas de Avaliação (LoA) dos parceiros de teste de intrusão, disponíveis para uso externo na parte final desta página. Devido à grande quantidade de informações internas disponibilizadas aos testadores durante essas avaliações, a gente não divulga relatórios completos. A maioria desses sistemas e produtos vai ser incluída no Programa de Recompensas por Bugs aberto ao público, dando garantia externa contínua. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Recompensa por bugs

O programa de recompensa por bugs da Atlassian é hospedado pelo Bugcrowd. Esse programa garante o teste constante dos produtos para checar vulnerabilidades de segurança.

A gente acredita que o grupo de pesquisadores de segurança independentes que participam do Programa de Recompensas por Bugs contribui para o processo eficaz de testes de segurança externos porque:

  • A recompensa por bugs está sempre ativa. O teste contínuo é necessário para um ambiente de desenvolvimento ágil com lançamentos frequentes.
  • As recompensas por bugs atraem mais de 60.000 pesquisadores em potencial. Isso possibilita uma alta capacidade agregada de habilidades de pesquisadores para oferecer a garantia técnica.
  • Os pesquisadores que buscam recompensas por bugs desenvolvem ferramentas especializadas e têm processamentos verticais (tipos de bugs específicos) e horizontais (recompensas específicas). Essa especialização oferece uma chance maior de identificar vulnerabilidades obscuras, mas significativas.

Mais de 25 produtos ou ambientes da Atlassian — entre produtos de servidor, aplicativos móveis e produtos de nuvem — estão no escopo do Programa de Recompensas por Bugs. Informações sobre o número de vulnerabilidades relatadas, o tempo médio de resposta e média de pagamento são encontrados no site Bugcrowd, com mais de 2.800 pesquisadores registrados em específico no programa da Atlassian.

O programa de recompensas por bugs é uma tentativa de identificar vulnerabilidades, como os tipos comuns capturados no Projeto Aberto de Segurança em Aplicações Web (OWASP) e nas listas de ameaças do Web Application Security Consortium (WASC).

Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do programa de recompensa por bugs, fazer a inscrição e testar os produtos.

Apps do Marketplace

Os apps do Marketplace fazem parte de outros programas de recompensas por bugs, como o Programa de Divulgação de Vulnerabilidades e o Programa de Recompensas por Bugs em Aplicativos Desenvolvidos pela Atlassian.

Testes iniciados por clientes

A gente permite testes iniciados por clientes conforme os Termos de Uso para os produtos de nuvem. A Atlassian tem o compromisso de ser aberta e vai continuar publicando estatísticas do Programa de Recompensas por Bugs com frequência.

Os programas de recompensas por bugs oferecem um método mais eficiente e econômico para avaliar a segurança de produtos e serviços, mas talvez você queira testar a segurança por conta própria. A Atlassian permite que sejam feitas avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes. A gente só pede que você siga algumas regras para que todos permaneçam seguros.

Relatório de vulnerabilidade

Se quiser comunicar a Atlassian sobre bugs que tiver encontrado, confira as instruções sobre como relatar vulnerabilidades.

Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A gente busca corrigir as vulnerabilidades de segurança relevantes nos Objetivos de Nível de Serviço (SLOs) relevantes. A Atlassian recebe solicitações de divulgação por meio dos programas de recompensas por bugs depois que os erros tiverem sido resolvidos e lançados. No entanto, a solicitação vai ser rejeitada se o relatório contiver dados do cliente. Se você planeja não fazer a divulgação por meio dos programas de recompensas por bugs, a gente pede que você avise em tempo razoável e espere até o SLO associado ter passado.

Exclusões dos nossos programas de testes de segurança

A Atlassian é transparente sobre os testes que faz. A gente também é transparente sobre os testes feitos por terceiros e sobre os que, no momento, não são feitos. Alguns tipos de vulnerabilidade de baixo risco, como enumeração e coleta de informações, não são considerados riscos significativos em geral.

Medindo aquilo que importa

A política de atualização de segurança da Atlassian especifica os prazos dos Objetivos de Nível de Serviço (SLO) para a correção de vulnerabilidades com base na gravidade e no produto. Ao avaliar habilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes.

Um breve resumo

O Programa de Recompensas por Bugs, as consultorias de segurança externas e a equipe interna de testes de segurança da Atlassian formam um modelo abrangente, maduro e transparente. Isso assegura que os produtos e plataformas sejam testados e protegidos, oferecendo garantia contínua aos clientes.

Baixe os relatórios atuais de recompensas por bugs

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de Recompensas por Bugs. Todas as descobertas do programa passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Baixe as Cartas de Avaliação (LoA)

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de relatório de teste de intrusão. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.