Close

Richtlinie zur Behebung von Sicherheits-Bugs

Atlassian ist es ein großes Anliegen, sicherzustellen, dass die Systeme von Kunden nicht durch Ausnutzung von Schwachstellen in Atlassian-Produkten kompromittiert werden können.


Umfang

Nachfolgend wird erläutert, wie und wann wir Sicherheits-Bugs in unseren Produkten beheben. Es wird nicht der gesamte von uns befolgte Offenlegungs- oder Empfehlungsprozess beschrieben.

Service Level Agreement (SLA) für die Behebung von Sicherheits-Bugs

Wir haben folgende Zeitrahmen zur Behebung von Sicherheitsproblemen in unseren Produkten festgelegt:

  • Kritisch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 8, CVSS v3-Bewertung >= 9) sollten im Produkt spätestens 4 Wochen nach der Meldung behoben sein.
  • Hoch: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 6, CVSS v3-Bewertung >= 7) sollten im Produkt spätestens 6 Wochen nach der Meldung behoben sein.
  • Mittel: Bugs mit diesem Schweregrad (CVSS v2-Bewertung >= 3, CVSS v3-Bewertung >= 4) sollten im Produkt spätestens 8 Wochen nach der Meldung behoben sein.

Kritische Sicherheitslücken

Wenn eine als kritisch eingestufte Sicherheitslücke von Atlassian entdeckt oder von einem Dritten gemeldet wird, ergreift Atlassian folgende Maßnahmen:

  • Veröffentlichung eines neuen, korrigierten Release für die aktuelle Version des betroffenen Produkts (so früh wie möglich)
  • Veröffentlichung eines neuen Wartungs-Release für eine vorherige Version wie folgt:

Es ist wichtig, immer das neueste Bugfix-Release für die von dir genutzte Produktversion zu verwenden (dies ist eine Best Practice). Wenn du beispielsweise Jira Software 7.5.0 nutzt, solltest du proaktiv ein Upgrade auf Jira Software 7.5.3 durchführen. Wenn ein neuer Sicherheits-Bugfix veröffentlicht wird, beispielsweise Jira Software 7.5.4, sind die Unterschiede zwischen diesen zwei Versionen minimal (sie beschränken sich auf den Sicherheits-Bugfix), was die Implementierung erleichtert. 

Der Prozess zur Behebung kritischer Sicherheitslücken gilt nicht für unsere Atlassian Cloud-Produkte, da bei diesen Services Problembehebungen immer durch Atlassian erfolgen, ohne dass der Kunde selbst Maßnahmen ergreifen muss.

 

Nicht kritische Sicherheitslücken

Wenn eine Sicherheitslücke mit dem Schweregrad Hoch, Mittel oder Niedrig entdeckt wird, behebt Atlassian diese mit dem nächsten geplanten Release. Sofern möglich, wird der Bugfix unter Umständen auch für Enterprise-Releases zurückportiert. 

Du solltest ein Upgrade deiner installierten Produkte durchführen, sobald ein Bugfix-Release veröffentlicht wird, um sicherzugehen, dass du über die aktuellen Sicherheits-Bugfixes verfügst.

 

Weitere Informationen

Der Schweregrad von Sicherheitslücken wird anhand der Schweregrade für Sicherheitsprobleme berechnet.

Wir bewerten unsere Richtlinien kontinuierlich auf der Basis von Kundenfeedback und geben Neuerungen oder Änderungen auf dieser Seite bekannt. 

 

Häufig gestellte Fragen

Was ist ein "Enterprise-Release"?

Enterprise-Releases sind für Server- und Data Center-Kunden vorgesehen, die sich bei der Vorbereitung für Upgrades auf neue Feature-Versionen gerne mehr Zeit nehmen, in der Zwischenzeit jedoch trotzdem Bugfixes erhalten müssen. Bei einigen Produkten werden bestimmte Versionen als Enterprise-Release gekennzeichnet, sodass Sicherheits-Bugfixes über den vollen Supportzeitraum von 2 Jahren zur Verfügung stehen.

Was ist ein "Feature-Release"?

Ein Feature-Release ist eine Version (beispielsweise 4.3), die neue Features oder größere Änderungen an bestehenden Features enthält und nicht als Enterprise-Release gekennzeichnet wurde. Weitere Informationen zu unserer Terminologie für Releases findest du in der Atlassian-Richtlinie zur Behebung von Bugs.

 

Warum werden bei Bitbucket, Jira und Confluence nur Feature-Releases aus 6 Monaten berücksichtigt?

Da bei Bitbucket Server sehr häufig neue Releases veröffentlicht werden, sind mit den 6 Monaten bereits 5 bis 6 Hauptversionen abgedeckt. Seit Mitte 2017 finden bei Jira und Confluence ähnlich häufig Releases statt, d. h. 5- bis 6-mal pro Jahr. 

Warum erfolgt bei anderen Produkten wie Bamboo, Service Desk und Fisheye/Crucible die Rückportierung nur auf eine einzige vorherige Hauptversion?

Unser Schwerpunkt liegt auf Jira, Confluence und Bitbucket Server, aber wir erwägen derzeit eine Erweiterung der Rückportierung bei Bamboo, Fisheye/Crucible und anderen Produkten, um je nach Nachfrage weitere Hauptversionen abzudecken.