Close

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.


Umfang

The following describes how and when we resolve security bugs in our products. It does not describe the complete disclosure or advisory process that we follow.

Service Level Agreement (SLA) für Sicherheits-Bugfixes

Wir haben folgende Zeitrahmen zur Behebung von Sicherheitsproblemen in unseren Produkten festgelegt:

  • Kritisch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 8, CVSS v3-Bewertung >= 9) sollten im Produkt spätestens 4 Wochen nach der Meldung behoben sein.
  • Hoch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 6, CVSS v3-Bewertung >= 7) sollten im Produkt spätestens 6 Wochen nach der Meldung behoben sein.
  • Mittel: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 3, CVSS v3-Bewertung >= 4) sollten im Produkt spätestens 8 Wochen nach der Meldung behoben sein.
     

Kritische Sicherheitslücken

Wenn eine als kritisch eingestufte Sicherheitslücke von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian folgende Maßnahmen:

  • Veröffentlichung eines neuen, korrigierten Release für die aktuelle Version des betroffenen Produkts (so früh wie möglich).
  • Veröffentlichung eines neuen Wartungs-Release für eine vorherige Version wie folgt:
     

 

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Core Server und Data Center

Jira Service Desk Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • alle als "Enterprise-Release" gekennzeichneten Versionen, die noch nicht das Ende des Lebenszyklus erreicht haben, und
  • alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden.

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein "Enterprise-Release" ist und 7.13.0 am 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • alle als "Enterprise-Release" gekennzeichneten Versionen, die noch nicht das Ende des Lebenszyklus erreicht haben, und
  • alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden.

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein Enterprise-Release ist und 6.13.0 am 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • alle als "Enterprise-Release" gekennzeichneten Versionen, die noch nicht das Ende des Lebenszyklus erreicht haben, und
  • alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden.

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als Enterprise-Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (BambooCrucibleFisheye usw.)

Wir veröffentlichen neue Bugfix-Releases nur für die aktuelle und vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist
Product

Jira Software Server and Data Center

Jira Core Server and Data Center

Jira Service Desk Server and Data Center

Back port policy

Issue new bug fix releases for:

  • Any versions designated an 'Enterprise release' that have not reached end of life.
  • All feature versions released within 6 months of the date the fix is released.
Example

For example, if a critical security bug fix is developed on 1 January 2020, the following new bug fix releases would need to be produced:

  • Jira 8.6.x because 8.6.0 was released on 17 December 2019
  • Jira 8.5.x because 8.5.0 was released on 21 October 2019
  • Jira 8.4.x because 8.4.0 was released on 9 September 2019
  • Jira 8.3.x because 8.3.0 was released on 22 July 2019
  • Jira 7.13.x because 7.13 is an Enterprise release, and 7.13.0 was released on 28 November 2018
Produkt

Confluence Server und Data Center

Backport-Richtlinie

Veröffentlichung von neuen Bugfix-Releases für:

  • alle als "Enterprise-Release" gekennzeichneten Versionen, die noch nicht das Ende des Lebenszyklus erreicht haben, und
  • alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden.
Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein Enterprise-Release ist und 6.13.0 am 4. Dezember 2018 veröffentlicht wurde
Produkt

Bitbucket Server and Data Center

Backport-Richtlinie

Veröffentlichung von neuen Bugfix-Releases für:

  • alle als "Enterprise-Release" gekennzeichneten Versionen, die noch nicht das Ende des Lebenszyklus erreicht haben, und
  • alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden.
Beispiel

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als Enterprise-Release wäre ein Bugfix erforderlich.

Product

All other products (BambooCrucibleFisheye, etc)

Back port policy

We will only issue new bug fix releases for the current and previous feature release version.

Example

For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:

  • Bamboo 6.10.x because it was released on 17 September 2019 and is the current release
  • Bamboo 6.9.x because 6.9.0 is the previous release

It is important to stay on the latest bug fix release for the version of the product you are using (this is best practice). For example if you are on Jira Software 7.5.0, you should upgrade to Jira Software 7.5.3 proactively. If a new security bug fix is released, e.g. Jira Software 7.5.4, the delta between the two versions is minimal (i.e. only the security fix), making it easier to apply. 

The critical vulnerabilities resolution process does not apply to our Atlassian Cloud products as these services are always fixed by Atlassian without any additional action from customers.

Nicht kritische Schwachstellen

Wenn eine Sicherheitslücke mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" entdeckt wird, behebt Atlassian diese mit dem nächsten geplanten Release. Sofern möglich, wird der Bugfix unter Umständen auch für Enterprise-Releases zurückportiert. 

Du solltest ein Upgrade deiner installierten Produkte durchführen, sobald ein Bugfix-Release veröffentlicht wird, um sicherzugehen, dass du über die aktuellen Sicherheits-Bugfixes verfügst.

Sonstige Informationen

Der Schweregrad von Sicherheitslücken wird anhand der Schweregrade für Sicherheitsprobleme berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt. 

FAQ

Was ist ein "Enterprise-Release"? Mehr anzeigen
  

Enterprise-Releases sind für Server- und Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Versionen gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten werden bestimmte Versionen als Enterprise-Release gekennzeichnet, sodass Sicherheits-Bugfixes über den vollen Supportzeitraum von 2 Jahren zur Verfügung stehen.

Was ist ein "Feature-Release"? Mehr anzeigen
  

Ein Feature-Release ist eine Version (beispielsweise 4.3), die neue Features oder größere Änderungen an bestehenden Features enthält und nicht als Enterprise-Release gekennzeichnet wurde. Weitere Informationen zu unserer Terminologie für Releases findest du in der Atlassian-Richtlinie zur Behebung von Bugs.

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt? Mehr anzeigen
  

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr. 

Warum erfolgt bei anderen Produkten wie Bamboo und Fisheye/Crucible die Rückportierung nur auf eine einzige vorherige Hauptversion? Mehr anzeigen
  

Unser Schwerpunkt liegt auf Jira, Confluence und Bitbucket Server, aber wir erwägen derzeit eine Erweiterung der Rückportierung bei Bamboo, Fisheye/Crucible und anderen Produkten, um je nach Nachfrage weitere Hauptversionen abzudecken.