Close

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.


Umfang

Diese Richtlinie beschreibt, wie und wann wir Sicherheitsschwachstellen in unseren Produkten beheben.

Service Level Objectives (SLO) für die Behebung von sicherheitsrelevanten Bugs

Atlassian legt Service Level Objectives zur Behebung von Sicherheitsschwachstellen auf Grundlage des Schweregrads und des betroffenen Produkts fest. Wir haben die folgenden Zeitvorgaben für die Behebung von Sicherheitsproblemen bei unseren Produkten festgelegt:

Ziele für die schnelle Problembehebung

Diese Zeitvorgaben gelten für alle cloudbasierten Atlassian-Produkte und alle anderen Softwareanwendungen oder Systeme, die von Atlassian verwaltet oder innerhalb der Atlassian-Infrastruktur ausgeführt werden. Sie gelten auch für Jira Align (sowohl für die Cloud- als auch die selbstverwalteten Releases).

  • Kritisch: Diese Schwachstellen sollten spätestens 10 Tage nach der Bestätigung behoben sein
  • Hoch: Diese Schwachstellen sollten spätestens 28 Tage nach der Meldung im Produkt behoben sein.
  • Mittel: Diese Schwachstellen sollten spätestens 84 Tage nach der Bestätigung behoben sein
  • Niedrig: Diese Schwachstellen sollten spätestens 175 Tage nach der Meldung im Produkt behoben sein.

Verlängerte Problembehebungsfristen

Diese Zeitvorgaben gelten für alle selbstverwalteten Produkte von Atlassian. Selbstverwaltete Produkte werden vom Kunden auf selbst verwalteten Systemen installiert und dazu zählen die Data Center- und mobilen Apps von Atlassian.

  • Kritisch, Hoch, Mittel: Diese Schwachstellen sollten spätestens 90 Tage nach der Meldung im Produkt behoben sein.
  • Niedrig: Diese Schwachstellen sollten spätestens 180 Tage nach der Meldung im Produkt behoben sein.

Kritische Sicherheitslücken

Wenn eine "kritische" Schwachstelle von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian die folgenden Maßnahmen:

  • Für Cloud-Produkte liefern wir so schnell wie möglich einen neuen Release mit der Behebung für das betroffene Produkt.
  • Für selbstverwaltete Produkte liefern wir:
    • einen Bugfix-Release für den neuesten Feature-Release des betroffenen Produkts.
    • einen neuen Feature-Release für das betroffene Produkt gemäß Release-Zeitplan.
    • einen Bugfix-Release für alle langfristig unterstützten Releases des betroffenen Produkts gemäß der Support-End-of-Life-Richtlinie von Atlassian.

Produkt
Backport-Richtlinie
Beispiel

Jira Software Server und Data Center

Jira Core Server und Data Center

Jira Service Management Server und Data Center (ehemals Jira Service Desk)

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Jira 8.6.x, weil 8.6.0 am 17. Dezember 2019 veröffentlicht wurde
  • Jira 8.5.x, weil 8.5.0 am 21. Oktober 2019 veröffentlicht wurde
  • Jira 8.4.x, weil 8.4.0 am 9. September 2019 veröffentlicht wurde
  • Jira 8.3.x, weil 8.3.0 am 22. Juli 2019 veröffentlicht wurde
  • Jira 7.13.x, weil 7.13 ein langfristig unterstützter Release ist und 7.13.0 vor dem 28. November 2018 veröffentlicht wurde

Confluence Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Confluence 7.2.x, weil 7.2.0 am 12. Dezember 2019 veröffentlicht wurde
  • Confluence 7.1.x, weil 7.1.0 am 4. November 2019 veröffentlicht wurde
  • Confluence 7.0.x, weil 7.0.0 am 10. September 2019 veröffentlicht wurde
  • Confluence 6.13.x, weil 6.13 ein langfristig unterstützter Release ist und 6.13.0 vor dem 4. Dezember 2018 veröffentlicht wurde

Bitbucket Server und Data Center

Veröffentlichung von neuen Bugfix-Releases für:

  • Alle als "Langfristig unterstützter Release" gekennzeichneten Versionen, die das End-of-Life-Datum noch nicht erreicht haben.
  • Alle Feature-Versionen, die bis zu 6 Monate vor dem Ausgabedatum des Bugfix veröffentlicht wurden

Angenommen, ein kritischer Sicherheits-Bugfix wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bitbucket 6.9.x, weil 6.9.0 am 10. Dezember 2019 veröffentlicht wurde
  • Bitbucket 6.8.x, weil 6.8.0 am 6. November 2019 veröffentlicht wurde
  • Bitbucket 6.7.x, weil 6.7.0 am 1. Oktober 2019 veröffentlicht wurde
  • Bitbucket 6.6.x, weil 6.6.0 am 27. August 2019 veröffentlicht wurde
  • Bitbucket 6.5.x, weil 6.5.0 am 24. Juli 2019 veröffentlicht wurde

Bitbucket 6.3.0 wurde am 14. Mai 2019 veröffentlicht, mehr als 6 Monate vor dem Ausgabedatum des Fix. Bei Kennzeichnung als langfristig unterstützter Release wäre ein Bugfix erforderlich.

Alle anderen Produkte (z. B. Bamboo, Crucible, Fisheye)

Wir veröffentlichen neue Bugfix-Releases nur für die vorherige Feature-Release-Version.

Angenommen, ein kritischer Sicherheits-Bugfix für Bamboo wäre am 1. Januar 2020 entwickelt worden. In diesem Fall wären folgende neue Bugfix-Releases erforderlich:

  • Bamboo 6.10.x, weil dies am 17. September 2019 veröffentlicht wurde und das aktuellste Release ist
  • Bamboo 6.9.x, weil 6.9.0 das vorherige Release ist

Für Crowd, Fisheye und Crucible liefern wir einen Bugfix-Release für den neuesten Feature-Release des betroffenen Produkts.

Beispiele zu Behebungen von kritischen Schwachstellen für selbstverwaltete Produkte:

Angenommen, die Behebung einer kritischen Schwachstelle wäre am 1. Februar 2024 entwickelt worden. In diesem Fall würden die folgenden Releases den Bugfix erhalten:

Produkt

Beispiel

Jira Software

Beispiel

Jira Software 9.13.x, weil 9.13.0 der neueste Feature-Release ist

Beispiel

Jira Software 9.12.x, weil 9.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Software 9.4.x, weil 9.4.0 der vorherige langfristig unterstützte Release ist

Jira Service Management

Beispiel

Jira Service Management 5.13.x, weil 5.13.0 der neueste Feature-Release ist

Beispiel

Jira Service Management 5.12.x, weil 5.12.0 der neueste langfristig unterstützte Release ist

Beispiel

Jira Service Management 5.4.x, weil 5.4.0 der zweitneueste langfristig unterstützte Release ist

Confluence

Beispiel

Confluence 8.7.x, weil 8.7.0 der neueste Feature-Release ist

Beispiel

Confluence 8.5.x, weil 8.5.0 der neueste langfristig unterstützte Release ist

Beispiel

Confluence 7.19.x, weil 7.19.0 der zweitneueste langfristig unterstützte Release ist

Bitbucket

Beispiel

Bitbucket 8.17.x, weil 8.17.0 der neueste Feature-Release ist

Beispiel

Bitbucket 8.9.x, weil 8.9.0 der neueste langfristig unterstützte Release ist

Beispiel

Bitbucket 7.21.x, weil 7.21.0 der zweitneueste langfristig unterstützte Release ist

Bamboo

Beispiel

Bamboo 9.5.x, weil 9.5.0 der neueste Feature-Release ist

Beispiel

Bamboo 9.2.x, weil 9.2.0 der neueste langfristig unterstützte Release ist

Crowd

Beispiel

Crowd 5.3.x, weil 5.3.0 der neueste Feature-Release ist

Fisheye/Crucible

Beispiel

Fisheye/Crucible 4.8.x, weil 4.8.0 der neueste Feature-Release ist

Keine anderen Produktversionen würden neue Bugfixes erhalten.

Häufige Upgrades stellen sicher, dass deine Produktinstanzen sicher sind. Es ist ein Best Practice, den neuesten Bugfix-Release des neuesten Feature-Release oder langfristig unterstützten Release deines Produkts zu nutzen.

Nicht kritische Schwachstellen

Wenn eine Sicherheitslücke mit dem Schweregrad "Hoch", "Mittel" oder "Niedrig" entdeckt wird, versucht Atlassian, diese im Rahmen der am Anfang dieses Dokuments angegebenen Service Level Objectives zu beheben. Sofern möglich, wird der Bugfix unter Umständen auch für langfristig unterstützte Releases zurückportiert. Die Machbarkeit von Backportierungen hängt unter anderem von komplexen Abhängigkeiten, architektonischen Änderungen und der Kompatibilität ab.

Du solltest ein Upgrade deiner installierten Produkte durchführen, sobald ein Bugfix-Release veröffentlicht wird, um sicherzugehen, dass du über die aktuellen Sicherheits-Bugfixes verfügst.

Sonstige Informationen

Der Schweregrad von Schwachstellen wird anhand der Schweregrade von Sicherheitsvorfällen berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt.

FAQ

Was ist ein Bugfix für eine Sicherheitslücke? Copy link to heading Copied! Mehr anzeigen
  

Ein Bugfix für eine Sicherheitslücke besteht aus einer Reihe von Änderungen, die an einem System oder einer Anwendung vorgenommen werden, um Schwachstellen zu beheben, die von Hackern ausgenutzt werden könnten. Diese Schwachstellen, auch Sicherheits-Bugs genannt, können zu unberechtigtem Zugriff, Datendiebstahl oder anderen böswilligen Aktivitäten führen.

Was ist eine Schwachstelle? Copy link to heading Copied! Mehr anzeigen
  

Eine Schwachstelle ist eine Sicherheitslücke oder ein Fehler, der durch eine Bedrohung oder ein Risiko ausgenutzt werden kann. Bei der Cybersicherheit könnte eine Schwachstelle ein Lücke in der Software, im Netzwerk oder im System sein, die es unbefugten Benutzern ermöglicht, Zugriff zu erhalten und Schaden anzurichten. Dazu zählen veraltete Software, schwache Kennwörter oder fehlende Datenverschlüsselung.

Wo finde ich weitere Informationen über behobene Schwachstellen in Data Center-Produkten? Copy link to heading Copied! Mehr anzeigen
  

Atlassian veröffentlicht monatliche Sicherheitsempfehlungen und bietet ein Portal zur Offenlegung von Schwachstellen. Das Portal zur Offenlegung von Schwachstellen ist eine zentrale Anlaufstelle für Informationen über offengelegte Schwachstellen in unseren Produkten. Es wird monatlich mit der Veröffentlichung jedes Sicherheitsbulletins aktualisiert und bietet eine einfache Möglichkeit, um Informationen aus früheren Bulletins zu suchen und nachzulesen.

Was ist ein langfristig unterstützter Release? Copy link to heading Copied! Mehr anzeigen
  

Langfristig unterstützte Releases sind für Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Versionen gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten wird eine bestimmte Version als langfristig unterstützter Release festgelegt, für den Sicherheits-Bugfixes über den vollen Supportzeitraum von 2 Jahren bereitgestellt werden.

Was ist ein Feature-Release? Copy link to heading Copied! Mehr anzeigen
  

Ein Feature-Release ist eine Version (beispielsweise Jira Software 9.11), die neue Features oder größere Änderungen an bestehenden Features enthält und nicht als langfristig unterstützter Release festgelegt wurde. Erfahre mehr über die Atlassian-Richtlinie zur Fehlerbehebung.