Abordagem em relação aos testes de segurança externos

A Atlassian adota uma abordagem multifacetada em relação à garantia de segurança externa dos produtos. A gente tem um modelo sempre ativo e sempre em teste que usa recompensas por bugs de origem coletiva. Esse modelo é complementado por testes regulares de intrusão de caixa branca feitos por consultorias de segurança externas e pela equipe interna de testes de segurança.

Filosofia e abordagem da Atlassian

A Atlassian é muito conhecida por seus valores, que influenciam mesmo tudo o que a gente faz — incluindo a abordagem para testes de segurança. Na prática, esses valores conduzem até as seguintes filosofias e abordagens:

• Bugs são uma parte inevitável do processo de desenvolvimento. A questão não é se eles existem, mas se a gente consegue encontrar e corrigir os bugs com eficiência e rapidez. Não é que a gente goste de bugs ou não esteja criando maneiras novas de reduzir a frequência e gravidade desses problemas. Quando se trata de bugs de software, a negação não é uma abordagem eficaz.
• A Atlassian apoia e usa os padrões da indústria. A padronização na terminologia e abordagem ajuda a garantir que a gente não está esquecendo de nada e ajuda os clientes a entender o que e por que a gente faz. Por exemplo, as classificações de vulnerabilidades padrão usando o Common Vulnerability Scoring System (CVSS) garantem clareza na compreensão da gravidade de vulnerabilidades específicas para a gente e os clientes. Os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA) também são seguidos.
• Os pesquisadores de segurança e os testadores de intrusão terceirizados são uma extensão valiosa da equipe: se um produto da Atlassian apresentar alguma vulnerabilidade, é do interesse de todos – da Atlassian e dos clientes — que ela seja encontrada e corrigida o mais rápido possível.
  • Todo ano, a Atlassian contrata testadores de intrusão terceirizados para encontrar vulnerabilidades de segurança nos produtos e suplementar a equipe de segurança interna em compromissos que exigem conjuntos de habilidades especializadas.
  • A Atlassian também incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos por meio de prêmios em dinheiro do programa de recompensas por bugs. Com a ajuda dos pesquisadores de segurança externos, é possível aumentar o nível da equipe muito além das abordagens tradicionais!
• A Atlassian é aberta e transparente sobre o programa de testes de segurança. A gente divulga Cartas de Avaliação (LoA) sobre os testes de intrusão feitos nos produtos e estatísticas sobre bugs encontrados no Programa de Recompensas por Bugs abaixo.

Garantia de segurança contínua

Teste de intrusão

A gente usa empresas especializadas em serviços de segurança para fazer testes de intrusão nos produtos e outros sistemas. Além disso, a Atlassian tem uma equipe interna de testes de segurança que trabalha em colaboração com consultores terceirizados para garantir a segurança técnica de projetos de alta prioridade, como uma nova função de produto (ex.: quadro branco do Confluence), nova configuração de infraestrutura (ex.: o ambiente FedRAMP) ou rearquitetura (ex.: novo tempo de execução do Forge).

Nesses casos, a Atlassian tem uma abordagem para testes de intrusão direcionada e focada. Os testes são:

• Caixa branca — Os testadores recebem a documentação do projeto e as instruções dos engenheiros de produto, além de formas de entrar em contato em caso de dúvidas durante o contrato de suporte aos testes
• Código assistido - os testadores vão ter acesso completo à base de códigos relevantes para ajudar a diagnosticar qualquer comportamento inesperado do sistema durante o teste e para identificar potenciais alvos
• Com base em ameaças — O teste aborda um cenário de ameaça específico, como imaginar que uma instância foi comprometida e testar movimentos laterais a partir desse ponto inicial
• Orientado por metodologia — Os testadores usam uma série de táticas personalizadas de teste de caixa branca, desenvolvidas com base em metodologias reconhecidas pelo setor, como o Projeto Aberto de Segurança em Aplicações Web (OWASP). Isso garante que os testes levem em conta as ameaças exclusivas da infraestrutura e das tecnologias da Atlassian.

A gente publica Cartas de Avaliação (LoA) dos parceiros de teste de intrusão, disponíveis para uso externo na parte final desta página. Devido à grande quantidade de informações internas disponibilizadas aos testadores durante essas avaliações, a gente não divulga relatórios completos. A maioria desses sistemas e produtos vai ser incluída no Programa de Recompensas por Bugs aberto ao público, dando garantia externa contínua. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Recompensa por bugs

O programa de recompensa por bugs da Atlassian é hospedado pelo Bugcrowd. Esse programa garante o teste constante dos produtos para checar vulnerabilidades de segurança.

A gente acredita que o grupo de pesquisadores de segurança independentes que participam do Programa de Recompensas por Bugs contribui para o processo eficaz de testes de segurança externos porque:

• A recompensa por bugs está sempre ativa. O teste contínuo é necessário para um ambiente de desenvolvimento ágil com lançamentos frequentes.
• As recompensas por bugs atraem mais de 60.000 pesquisadores em potencial. Isso possibilita uma alta capacidade agregada de habilidades de pesquisadores para oferecer a garantia técnica.
• Os pesquisadores que buscam recompensas por bugs desenvolvem ferramentas especializadas e têm processamentos verticais (tipos de bugs específicos) e horizontais (recompensas específicas). Essa especialização oferece uma chance maior de identificar vulnerabilidades obscuras, mas significativas.

Mais de 25 produtos ou ambientes da Atlassian — entre produtos de servidor, aplicativos móveis e produtos de nuvem — estão no escopo do Programa de Recompensas por Bugs. Informações sobre o número de vulnerabilidades relatadas, o tempo médio de resposta e média de pagamento são encontrados no site Bugcrowd, com mais de 2.800 pesquisadores registrados em específico no programa da Atlassian.

O programa de recompensas por bugs é uma tentativa de identificar vulnerabilidades, como os tipos comuns capturados no Projeto Aberto de Segurança em Aplicações Web (OWASP) e nas listas de ameaças do Web Application Security Consortium (WASC).

Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do programa de recompensa por bugs, fazer a inscrição e testar os produtos.

Apps do Marketplace

Os apps do Marketplace fazem parte de outros programas de recompensas por bugs, como o Programa de Divulgação de Vulnerabilidades e o Programa de Recompensas por Bugs em Aplicativos Desenvolvidos pela Atlassian.

Testes iniciados por clientes

A gente permite testes iniciados por clientes conforme os Termos de Uso para os produtos de nuvem. A Atlassian tem o compromisso de ser aberta e vai continuar publicando estatísticas do Programa de Recompensas por Bugs com frequência.

Os programas de recompensas por bugs oferecem um método mais eficiente e econômico para avaliar a segurança de produtos e serviços, mas talvez você queira testar a segurança por conta própria. A Atlassian permite que sejam feitas avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes. A gente só pede que você siga algumas regras para que todos permaneçam seguros.

Relatório de vulnerabilidade

Se quiser comunicar a Atlassian sobre bugs que tiver encontrado, confira as instruções sobre como relatar vulnerabilidades.

Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A gente busca corrigir as vulnerabilidades de segurança relevantes nos Objetivos de Nível de Serviço (SLOs) relevantes. A Atlassian recebe solicitações de divulgação por meio dos programas de recompensas por bugs depois que os erros tiverem sido resolvidos e lançados. No entanto, a solicitação vai ser rejeitada se o relatório contiver dados do cliente. Se você planeja não fazer a divulgação por meio dos programas de recompensas por bugs, a gente pede que você avise em tempo razoável e espere até o SLO associado ter passado.

Exclusões dos nossos programas de testes de segurança

A Atlassian é transparente sobre os testes que faz. A gente também é transparente sobre os testes feitos por terceiros e sobre os que, no momento, não são feitos. Alguns tipos de vulnerabilidade de baixo risco, como enumeração e coleta de informações, não são considerados riscos significativos em geral.

Medindo aquilo que importa

A política de atualização de segurança da Atlassian especifica os prazos dos Objetivos de Nível de Serviço (SLO) para a correção de vulnerabilidades com base na gravidade e no produto. Ao avaliar habilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes.

Um breve resumo

O Programa de Recompensas por Bugs, as consultorias de segurança externas e a equipe interna de testes de segurança da Atlassian formam um modelo abrangente, maduro e transparente. Isso assegura que os produtos e plataformas sejam testados e protegidos, oferecendo garantia contínua aos clientes.

Quer saber mais?

Neste breve artigo, alguns outros documentos e recursos são citados. Com eles, você pode entender melhor a abordagem da Atlassian em relação aos testes de segurança.

• Centro de Confiabilidade da Atlassian
• Práticas de segurança da Atlassian
• CSA STAR da Atlassian
• Política de correção de bugs da Atlassian
• Página do relatório de vulnerabilidades da Atlassian
• Responsabilidades por incidentes de segurança da Atlassian
• Página inicial da recompensa por bugs da Atlassian
• Programas de Recompensa por Bugs da Atlassian
  • Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs da Atlassian
  • Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs de fornecedores externos
  • Recompensa por Bugs do Opsgenie
  • Recompensa por Bugs do Statuspage
  • Recompensas por bugs do Trello
  • Recompensas por bugs do Halp
  • Recompensa por Bugs da Atlassian para todos os outros produtos (Jira, Confluence, Bitbucket, etc.)

Baixe os relatórios atuais de recompensas por bugs

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de Recompensas por Bugs. Todas as descobertas do programa passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

• Baixe o relatório mais recente de recompensas por bugs da Atlassian (07/2023)
• Baixe o relatório mais recente de recompensas por bugs do Halp (07/2023)
• Baixe o relatório mais recente de recompensas por bugs do Jira Align (07/2023)
• Baixe o relatório mais recente de recompensas por bugs do Opsgenie (07/2023)
• Baixe o relatório mais recente de recompensas por bugs do Statuspage (07/2023)
• Baixe o relatório mais recente de recompensas por bugs do Trello (07/2023)

Baixe as Cartas de Avaliação (LoA)

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de relatório de teste de intrusão. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

• Carta de Avaliação do Bitbucket Pipelines (2022-05)
• Carta de Avaliação do Trello (2022-08)
• Carta de avaliação do Confluence Cloud (2022-10)
• Carta de avaliação do Jira Service Management Data Center (2022/10)
• Carta de avaliação do Jira Cloud Google OAuth (10/2022)
• Carta de avaliação da Biblioteca Atlassian Log4j para Confluence e Jira (2022-12)
• Carta de avaliação do Jira Work Management Cloud (2022/12)
• Carta de avaliação do Bitbucket Cloud (2022-12)
• Carta de avaliação do Statuspage Cloud (2022-12)
• Carta de avaliação do Jira Software (Cloud) (2023-02)
• Carta de Avaliação do Bamboo (2023-02)
• Carta de Avaliação para o Jira Product Discovery (03-2023)
• Carta de Avaliação do Atlas (04/2023)
• Carta de avaliação da plataforma de visualização do Atlassian Analytics (05/2023)
• Carta de avaliação do Confluence Server e Data Center (05/2023)
• Carta de avaliação do Fisheye e Crucible Server e Data Center (2023-05)
• Carta de avaliação do Jira Server e Data Center (05/2023)
• Carta de avaliação do Compass Cloud (05/2023)
• Carta de Avaliação do Jira Align (06-2023)
• Carta de Avaliação do Atlassian Access (06-2023)
• Carta de avaliação do Crowd Server e Data Center (06/2023)
• Carta de Avaliação do Atlassian Assist (07-2023)
• Carta de avaliação do Bitbucket Server e DC (2023-07)