Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.


Umfang

Nachfolgend wird erläutert, wie und wann wir Sicherheits-Bugs in unseren Produkten beheben. Es wird nicht der gesamte von uns befolgte Offenlegungs- oder Empfehlungsprozess beschrieben.

Service Level Objectives (SLO) für die Behebung von sicherheitsrelevanten Bugs

Wir haben folgende Zeitrahmen zur Behebung von Sicherheitsproblemen in unseren Produkten festgelegt:

Verkürzte Problembehebungsfristen

Diese Zeitvorgaben gelten für alle cloudbasierten Atlassian-Produkte und alle anderen Softwareanwendungen oder Systeme, die von Atlassian verwaltet oder innerhalb der Atlassian-Infrastruktur ausgeführt werden.

  • Kritisch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 8, CVSS v3-Bewertung >= 9) sollten im Produkt spätestens 2 Wochen nach der Meldung behoben sein.
  • Hoch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 6, CVSS v3-Bewertung >= 7) sollten im Produkt spätestens 4 Wochen nach der Meldung behoben sein.
  • Mittel: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 3, CVSS v3-Bewertung >= 4) sollten im Produkt spätestens 6 Wochen nach der Meldung behoben sein.
  • Niedrig: Bugs mit diesem Schweregrad (CVSS v2-Bewertung < 3, CVSS v3-Bewertung < 4) sollten im Produkt spätestens 25 Wochen nach der Meldung behoben sein.

Verlängerte Problembehebungsfristen

Diese Zeitvorgaben gelten für alle selbstverwalteten Atlassian-Produkte und Jira Align (sowohl Cloud als auch selbstverwaltet). Ein selbstverwaltetes Produkt wird vom Kunden auf ebenfalls vom Kunden verwalteten Systemen installiert. Das können die Server-, Data Center-, Desktop- und mobilen Anwendungen von Atlassian sein.

  • Bugs mit den Schweregraden kritisch, hoch und mittel (CVSS v2-Bewertung >= 3, CVSS v3-Bewertung >= 4) sollten im Produkt spätestens 90 Tage nach der Meldung behoben sein.
  • Niedrig: Bugs mit diesem Schweregrad (CVSS v2-Bewertung < 3, CVSS v3-Bewertung < 4) sollten im Produkt spätestens 180 Tage nach der Meldung behoben sein.

Kritische Sicherheitslücken

Wenn eine als "kritisch" eingestufte Sicherheitslücke von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian folgende Maßnahmen:

  • Veröffentlichung eines neuen, korrigierten Release für die aktuelle Version des betroffenen Produkts (so früh wie möglich).
  • Veröffentlichung eines neuen Wartungs-Release für eine vorherige Version wie folgt:

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Core Server und Data Center

Jira Service Desk Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist
Produkt

Jira Software Server und Data Center

Jira Core Server und Data Center

Jira Service Desk Server und Data Center

Backport-Richtlinie

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden
Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde
Produkt

Confluence Server und Data Center

Backport-Richtlinie

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden
Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde
Produkt

Bitbucket Server und Data Center

Backport-Richtlinie

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden
Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Produkt

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Backport-Richtlinie

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist

Es ist wichtig, immer das neueste Bugfix-Release für die von dir genutzte Produktversion zu verwenden (dies ist eine Best Practice). Wenn du beispielsweise Jira Software 7.5.0 nutzt, solltest du proaktiv ein Upgrade auf Jira Software 7.5.3 durchführen. Wenn ein neuer Sicherheits-Bugfix veröffentlicht wird, beispielsweise Jira Software 7.5.4, sind die Unterschiede zwischen diesen zwei Versionen minimal (sie beschränken sich auf den Sicherheits-Bugfix), was die Implementierung erleichtert.

Der Prozess zur Behebung kritischer Sicherheitslücken gilt nicht für unsere Atlassian Cloud-Produkte, da bei diesen Services Problembehebungen immer durch Atlassian erfolgen, ohne dass der Kunde selbst Maßnahmen ergreifen muss.

Nicht kritische Schwachstellen

Wenn eine Sicherheitslücke mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" entdeckt wird, behebt Atlassian diese mit dem nächsten geplanten Release. Sofern möglich, wird der Bugfix unter Umständen auch für langfristig unterstützte Releases zurückportiert.

Du solltest ein Upgrade deiner installierten Produkte durchführen, sobald ein Bugfix-Release veröffentlicht wird, um sicherzugehen, dass du über die aktuellen Sicherheits-Bugfixes verfügst.

Sonstige Informationen

Der Schweregrad von Sicherheitslücken wird anhand der Schweregrade für Sicherheitsprobleme berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt.

FAQ

Was ist ein "Langfristig unterstützter Release"? Mehr anzeigen
  

Langfristig unterstützte Releases sind für Server- und Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Versionen gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten werden bestimmte Versionen als langfristig unterstützter Release gekennzeichnet, sodass Sicherheits-Bugfixes über den vollen Supportzeitraum von 2 Jahren zur Verfügung stehen.

Was ist ein "Feature-Release"? Mehr anzeigen
  

Ein Feature-Release ist eine Version (beispielsweise 4.3), die neue Features oder größere Änderungen an bestehenden Features enthält und nicht als langfristig unterstützter Release gekennzeichnet wurde. Weitere Informationen zu unserer Terminologie für Releases findest du in der Atlassian-Richtlinie zur Behebung von Bugs.

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt? Mehr anzeigen
  

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr.

Warum erfolgt bei anderen Produkten wie Bamboo und Fisheye/Crucible die Rückportierung nur auf eine einzige vorherige Hauptversion? Mehr anzeigen
  

Unser Schwerpunkt liegt auf Jira, Confluence und Bitbucket Server, aber wir erwägen derzeit eine Erweiterung der Rückportierung bei Bamboo, Fisheye/Crucible und anderen Produkten, um je nach Nachfrage weitere Hauptversionen abzudecken.