Abordagem em relação aos testes de segurança externos

A Atlassian adota uma abordagem multifacetada em relação à garantia de segurança externa dos produtos. A gente tem um modelo sempre ativo e sempre em teste que usa recompensas por bugs de origem coletiva. Esse modelo é complementado por testes regulares de intrusão de caixa branca feitos por consultorias de segurança externas e pela equipe interna de testes de segurança.

Filosofia e abordagem da Atlassian

A Atlassian é muito conhecida por seus valores, que influenciam mesmo tudo o que faz — incluindo a abordagem para testes de segurança. Na prática, esses valores conduzem até as seguintes filosofias e abordagens:

• Bugs são uma parte inevitável do processo de desenvolvimento. A questão não é se eles existem, mas se a gente consegue encontrar e corrigir os bugs com eficiência e rapidez. Não é que a gente goste de bugs ou não esteja criando maneiras novas de reduzir a frequência e gravidade desses problemas. Quando se trata de bugs de software, a negação não é uma abordagem eficaz.
• A Atlassian apoia e usa os padrões da indústria. A padronização na terminologia e abordagem ajuda a garantir que a gente não está esquecendo de nada e ajuda os clientes a entender o que e por que a gente faz. Por exemplo, as classificações de vulnerabilidades padrão usando o Common Vulnerability Scoring System (CVSS) garantem clareza na compreensão da gravidade de vulnerabilidades específicas para a gente e os clientes. Os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA) também são seguidos.
• Os pesquisadores de segurança e os testadores de intrusão terceirizados são uma extensão valiosa da equipe: se um produto da Atlassian apresentar alguma vulnerabilidade, é do interesse de todos (da Atlassian e dos clientes) que ela seja encontrada e corrigida o mais rápido possível.
  • Todo ano, a Atlassian contrata testadores de intrusão terceirizados para encontrar vulnerabilidades de segurança nos produtos e suplementar a equipe de segurança interna em compromissos que exigem conjuntos de habilidades especializadas.
  • A Atlassian também incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos com prêmios em dinheiro do Programa de Recompensas por Bugs. Com a ajuda dos pesquisadores de segurança externos, é possível aumentar o nível da equipe muito além das abordagens tradicionais.
• A Atlassian é aberta e transparente sobre o programa de testes de segurança. A gente divulga Cartas de Atestado (LoAs) sobre os testes de intrusão feitos nos produtos e estatísticas sobre bugs encontrados no Programa de Recompensas por Bugs abaixo.

Garantia de segurança contínua

Teste de intrusão

A gente usa empresas especializadas em serviços de segurança para fazer testes de intrusão nos produtos e outros sistemas. Além disso, a Atlassian tem uma equipe interna de testes de segurança que trabalha em colaboração com consultores terceirizados para garantir a segurança técnica de projetos de alta prioridade, como uma nova função de produto (ex.: quadro branco do Confluence), nova configuração de infraestrutura (ex.: o ambiente FedRAMP) ou rearquitetura (ex.: novo tempo de execução do Forge).

Nesses casos, a Atlassian tem uma abordagem para testes de intrusão direcionada e focada. Os testes são:

• Caixa branca — Os testadores recebem a documentação do projeto e as instruções dos engenheiros de produto, além de formas de entrar em contato em caso de dúvidas durante o contrato de suporte aos testes
• Código assistido - os testadores vão ter acesso completo à base de códigos relevantes para ajudar a diagnosticar qualquer comportamento inesperado do sistema durante o teste e para identificar potenciais alvos
• Com base em ameaças — O teste aborda um cenário de ameaça específico, como imaginar que uma instância foi comprometida e testar movimentos laterais a partir desse ponto inicial
• Orientado por metodologia — Os testadores usam uma série de táticas personalizadas de teste de caixa branca, desenvolvidas com base em metodologias reconhecidas pelo setor, como o Projeto Aberto de Segurança em Aplicações Web (OWASP). Isso garante que os testes levem em conta as ameaças exclusivas da infraestrutura e das tecnologias da Atlassian.

A gente publica Cartas de Atestado (LoA)s dos parceiros de teste de intrusão, disponíveis para uso externo na parte final desta página. Devido à grande quantidade de informações internas disponibilizadas aos testadores durante essas avaliações, a gente não divulga relatórios completos. A maioria desses sistemas e produtos vai ser incluída no Programa de Recompensas por Bugs aberto ao público, dando garantia externa contínua. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Recompensa por bugs

O programa de recompensa por bugs da Atlassian é hospedado pelo Bugcrowd. Esse programa garante o teste constante dos produtos para checar vulnerabilidades de segurança.

A gente acredita que o grupo de pesquisadores de segurança independentes que participam do Programa de Recompensas por Bugs contribui para o processo eficaz de testes de segurança externos porque:

• A recompensa por bugs está sempre ativa. O teste contínuo é necessário para um ambiente de desenvolvimento ágil com lançamentos frequentes.
• Uma recompensa por bugs tem mais de 275 mil pesquisadores em potencial de mais de 100 países. Isso possibilita uma alta capacidade agregada de habilidades de pesquisadores para oferecer a garantia técnica.
• Os pesquisadores que buscam recompensas por bugs desenvolvem ferramentas especializadas e têm processamentos verticais (tipos de bugs específicos) e horizontais (recompensas específicas). Essa especialização oferece uma chance maior de identificar vulnerabilidades obscuras, mas significativas.

Mais de 30 dos produtos ou ambientes — nos produtos de inteligência artificial, produtos de nuvem, produtos de data center e aplicativos móveis que a gente tem — estão dentro do escopo do programa de recompensa por bugs. Informações sobre o número de vulnerabilidades relatadas, o tempo médio de resposta e média de pagamento são encontrados no site Bugcrowd, com mais de 3.700 pesquisadores tendo participado no programa da Atlassian.

O programa de recompensas por bugs é uma tentativa de identificar vulnerabilidades, como os tipos comuns capturados no Projeto Aberto de Segurança em Aplicações Web (OWASP) e nas listas de ameaças do Web Application Security Consortium (WASC).

Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do programa de recompensa por bugs, fazer a inscrição e testar os produtos.

Apps do Marketplace

Os aplicativos do Marketplace são abordados na seção Programa de Recompensas por Bugs de aplicativos da Atlassian.

Testes iniciados por clientes

A gente permite testes iniciados por clientes conforme os Termos de Uso para os produtos de nuvem. A Atlassian tem o compromisso de ser aberta e vai continuar publicando estatísticas do Programa de Recompensas por Bugs com frequência, além das LoAs.

A gente acredita que nossa abordagem oferece uma garantia abrangente de nossos produtos e serviços, mas entende que talvez você queira testar a segurança por conta própria. A Atlassian permite que sejam feitas avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes. A gente só pede que você siga algumas regras para que todos permaneçam seguros.

Relatório de vulnerabilidade

Se quiser comunicar a Atlassian sobre bugs que tiver encontrado, confira as instruções sobre como relatar vulnerabilidades.

Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A gente busca corrigir as vulnerabilidades de segurança relevantes nos Objetivos de Nível de Serviço (SLOs) relevantes. A Atlassian recebe solicitações de divulgação por meio dos programas de recompensas por bugs depois que os erros tiverem sido resolvidos e lançados. No entanto, a solicitação vai ser rejeitada se o relatório contiver dados do cliente. Se você planeja não fazer a divulgação por meio dos programas de recompensas por bugs, a gente pede que você avise em tempo razoável e espere até o SLO associado ter passado.

Exclusões dos nossos programas de testes de segurança

A Atlassian é transparente sobre os testes que faz. A gente também é transparente sobre os testes feitos por terceiros e sobre os que, no momento, não são feitos. Alguns tipos de vulnerabilidade de baixo risco, como enumeração e coleta de informações, não são considerados riscos significativos em geral.

Medindo aquilo que importa

A política de atualização de segurança da Atlassian especifica os prazos dos Objetivos de Nível de Serviço (SLO) para a correção de vulnerabilidades com base na gravidade e no produto. Ao avaliar habilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes.

Um breve resumo

O Programa de Recompensas por Bugs, as consultorias de segurança externas e a equipe interna de testes de segurança da Atlassian formam um modelo abrangente, maduro e transparente. Isso assegura que os produtos e plataformas sejam testados e protegidos, oferecendo garantia contínua aos clientes.

Quer saber mais?

Neste breve artigo, alguns outros documentos e recursos são citados. Com eles, você pode entender melhor a abordagem da Atlassian em relação aos testes de segurança.

• Centro de Confiabilidade da Atlassian
• Práticas de segurança da Atlassian
• CSA STAR da Atlassian
• Política de correção de bugs da Atlassian
• Página do relatório de vulnerabilidades da Atlassian
• Responsabilidades por incidentes de segurança da Atlassian
• Página inicial da recompensa por bugs da Atlassian
• Programas de Recompensa por Bugs da Atlassian
  • Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs da Atlassian
  • Recompensa por Bugs do Opsgenie
  • Recompensa por Bugs do Statuspage
  • Recompensas por bugs do Trello
  • Recompensa por Bugs da Atlassian para todos os outros produtos (Jira, Confluence, Bitbucket, etc.)

Baixe os relatórios atuais de recompensas por bugs

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de Recompensas por Bugs. Todas as descobertas do programa passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

• Baixe o relatório de recompensas por bugs mais recente da Atlassian (01-2025)
• Baixe o relatório de recompensas por bugs mais recente do Jira Align (01-2025)
• Baixe o relatório de recompensas por bugs mais recente do Opsgenie (01-2025)
• Baixe o relatório de recompensas por bugs mais recente do Statuspage (01-2025)
• Baixe o relatório de recompensas por bugs mais recente do Trello (01-2025)
• Baixe o relatório de recompensas por bugs mais recente do Loom (01-2025)

Baixe os relatórios atuais de recompensas por bugs

Além de nossas atualizações trimestrais de recompensas por bugs, também lançamos um relatório anual sobre nossos programas de recompensas por bugs. Este relatório oferece aos nossos clientes insights sobre o progresso do programa e fornece informações detalhadas sobre os tipos de vulnerabilidades que foram descobertas.

• Baixe o relatório de recompensas por bugs da Atlassian para o ano fiscal de 2023 (julho de 2022 a junho de 2023)

Download das Cartas de Atestado (LoA)

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de relatório de teste de intrusão. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

• Carta de Atestado do Bitbucket Pipelines (2022-05)
• Carta de Atestado da biblioteca Log4j da Atlassian para Confluence e Jira (2022-12)
• Carta de Atestado do Atlas (2023-04)
• Carta de Atestado do Atlassian Assist (2023-07)
• Carta de Atestado do Bitbucket Cloud (2024-02)
• Carta de Atestado do Jira Work Management (2024-02)
• Carta de Atestado da Plataforma Jira Cloud (2024-03)
• Carta de Atestado do Bamboo Server e Data Center (2024-05)
• Carta de Atestado do Jira Product Discovery (2024-05)
• Carta de Atestado do Atlassian Analytics (aplicativo da Web) (2024-06)
• Carta de Atestado do Atlassian Guard (2024-06)
• Carta de Atestado do Jira Data Center (2024-06)
• Carta de Atestado do Fisheye e Crucible Server (aplicativo da Web) (2024-07)
• Carta de Atestado do Compass (aplicativo da Web) (2024-07)
• Carta de Atestado do Crowd Server e Data Center (2024-07)
• Carta de Atestado do SourceTree (2024-09)
• Carta de Atestado do Bitbucket Server e Data Center (2024-09)
• Carta de Atestado do Forge (2024-09)
• Carta de Atestado do Jira Service Management, Opsgenie Cloud e AirTrack (2024-09)
• Carta de Atestado do Jira Align (2024-09)
• Carta de Atestado do Loom (2024-10)
• Carta de Atestado do Atlassian Guard (aplicativo da Web, antes chamado de Beacon) (2024-11)
• Carta de Atestado do Rovo (2024-11)
• Carta de Atestado do Confluence Cloud (2024-12)
• Carta de Atestado do Statuspage Cloud (2024-12)
• Carta de Atestado do Jira Service Management Data Center (2024-12)
• Carta de Atestado do Trello (2025-02)
• Carta de atestado da avaliação de simulação de adversários externos e internos da Atlassian (2025-02)
• Carta de atestado do Focus (2025-02)
• Carta de atestado do Confluence Data Center (2025-02)
• Carta de atestado para a página inicial da Atlassian (2025-03)
• Carta de atestado para a plataforma de migração para a nuvem (2025-03)