Close

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.


Umfang

Nachfolgend wird erläutert, wie und wann wir Sicherheits-Bugs in unseren Produkten beheben. Es wird nicht der gesamte von uns befolgte Offenlegungs- oder Empfehlungsprozess beschrieben.

Service Level Objectives (SLO) für die Behebung von sicherheitsrelevanten Bugs

Atlassian legt Service Level Objectives zur Behebung von Sicherheitsschwachstellen auf Grundlage des Schweregrads und des betroffenen Produkts fest. Wir haben folgende Zeitrahmen zur Behebung von Sicherheitsproblemen in unseren Produkten festgelegt:

Verkürzte Problembehebungsfristen

Diese Zeitvorgaben gelten für alle cloudbasierten Atlassian-Produkte und alle anderen Softwareanwendungen oder Systeme, die von Atlassian verwaltet oder innerhalb der Atlassian-Infrastruktur ausgeführt werden. Sie gelten auch für Jira Align (sowohl für die Cloud- als auch die selbstverwalteten Versionen).

  • Kritisch: Bugs mit diesem Schweregrad sollten spätestens 14 Tage nach der Meldung im Produkt behoben sein.
  • Hoch: Bugs mit diesem Schweregrad sollten spätestens 28 -Tage nach der Meldung im Produkt behoben sein.
  • Mittel: Bugs mit diesem Schweregrad sollten spätestens 42 Tage nach der Meldung im Produkt behoben sein.
  • Niedrig: Bugs mit diesem Schweregrad sollten spätestens 175 Tage nach der Meldung im Produkt behoben sein.

Verlängerte Problembehebungsfristen

Diese Zeitangaben gelten für alle selbstverwalteten Produkte von Atlassian. Ein selbstverwaltetes Produkt wird vom Kunden auf ebenfalls vom Kunden verwalteten Systemen installiert. Das können die Server-, Data Center-, Desktop- und mobilen Anwendungen von Atlassian sein.

  • Kritisch, Hoch, Mittel: Bugs mit diesem Schweregrad sollten im Produkt spätestens 90 Tage nach der Meldung behoben sein.
  • Niedrig: Bugs mit diesem Schweregrad sollten im Produkt spätestens 180 Tage nach der Meldung behoben sein.

Kritische Sicherheitslücken

Wenn eine als "kritisch" eingestufte Sicherheitslücke von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian folgende Maßnahmen:

  • Veröffentlichung eines neuen, korrigierten Release für die aktuelle Version des betroffenen Produkts (so früh wie möglich).
  • Veröffentlichung eines neuen Wartungs-Release für eine vorherige Version wie folgt:

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Core Server und Data Center

Jira Service Management Server und Data Center (ehemals Jira Service Desk)

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist

For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.

Es ist wichtig, immer das neueste Bugfix-Release für die von dir genutzte Produktversion zu verwenden (dies ist eine Best Practice). Wenn du beispielsweise Jira Software 7.5.0 nutzt, solltest du proaktiv ein Upgrade auf Jira Software 7.5.3 durchführen. Wenn ein neuer Sicherheits-Bugfix veröffentlicht wird, beispielsweise Jira Software 7.5.4, sind die Unterschiede zwischen diesen zwei Versionen minimal (sie beschränken sich auf den Sicherheits-Bugfix), was die Implementierung erleichtert.

Der Prozess zur Behebung kritischer Sicherheitslücken gilt nicht für unsere Atlassian Cloud-Produkte, da bei diesen Services Problembehebungen immer durch Atlassian erfolgen, ohne dass der Kunde selbst Maßnahmen ergreifen muss.

Product

Example

Jira Software

Example

Jira Software 9.13.x because 9.13.0 is the latest feature release

Example

Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release

Example

Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release

Jira Service Management

Example

Jira Service Management 5.13.x because 5.13.0 is the latest feature release

Example

Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release

Example

Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release

Confluence

Example

Confluence 8.7.x because 8.7.0 is the latest feature release

Example

Confluence 8.5.x because 8.5.0 is the latest Long Term Support release

Example

Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release

Bitbucket

Example

Bitbucket 8.17.x because 8.17.0 is the latest feature release

Example

Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release

Example

Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release

Bamboo

Example

Bamboo 9.5.x because 9.5.0 is the latest feature release

Example

Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release

Crowd

Example

Crowd 5.3.x because 5.3.0 is the latest feature release

Fisheye/Crucible

Example

Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release

No other product versions would receive new bug fixes.

Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.

Nicht kritische Schwachstellen

Wenn eine Sicherheitslücke mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" entdeckt wird, versucht Atlassian, diese im Rahmen der am Anfang dieses Dokuments angegebenen Service Level Objectives zu beheben. Sofern möglich, wird der Bugfix unter Umständen auch für langfristig unterstützte Releases zurückportiert.

Du solltest ein Upgrade deiner installierten Produkte durchführen, sobald ein Bugfix-Release veröffentlicht wird, um sicherzugehen, dass du über die aktuellen Sicherheits-Bugfixes verfügst.

Sonstige Informationen

Der Schweregrad von Sicherheitslücken wird anhand der Schweregrade für Sicherheitsprobleme berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt.

FAQ

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt? Copy link to heading Copied! Mehr anzeigen
  

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr.

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt? Copy link to heading Copied! Mehr anzeigen
  

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr.

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt? Copy link to heading Copied! Mehr anzeigen
  

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr.

Was ist ein "Langfristig unterstützter Release"? Copy link to heading Copied! Mehr anzeigen
  

Langfristig unterstützte Releases sind für Server- und Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Versionen gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten werden bestimmte Versionen als langfristig unterstützter Release gekennzeichnet, sodass Sicherheits-Bugfixes über den vollen Supportzeitraum von 2 Jahren zur Verfügung stehen.

Was ist ein "Feature-Release"? Copy link to heading Copied! Mehr anzeigen
  

Ein Feature-Release ist eine Version (beispielsweise 4.3), die neue Features oder größere Änderungen an bestehenden Features enthält und nicht als langfristig unterstützter Release gekennzeichnet wurde. Weitere Informationen zu unserer Terminologie für Releases findest du in der Atlassian-Richtlinie zur Behebung von Bugs.