Unser Ansatz für externe Sicherheitstests

Atlassian verfolgt einen vielschichtigen Ansatz zur Gewährleistung der externen Sicherheit unserer Produkte. Unser Always-On-Always-Test-Modell basiert auf Crowdsourcing und einer Bug-Bounty, ergänzt durch regelmäßige White-Box-Penetrationstests, die von externen Sicherheitsberatern und unserem internen Sicherheitstestteam durchgeführt werden.

Unsere Philosophie und unser Ansatz

Atlassian ist für seine Werte bekannt. Diese Werte beeinflussen unser gesamtes Handeln – und damit auch unseren Ansatz für Sicherheitstests. In der Praxis sind wir durch unsere Werte zu folgenden Philosophien und Ansätzen gelangt:

• Bugs sind ein unvermeidlicher Teil des Entwicklungsprozesses. Die Frage ist daher nicht, ob überhaupt Bugs vorhanden sind, sondern wie effektiv und schnell wir diese finden und beheben. Das bedeutet nicht, dass wir Bugs einfach hinnehmen – stattdessen arbeiten wir ständig an Innovationen, um ihre Häufigkeit und ihren Schweregrad zu mindern. Denn das Leugnen von Software-Bugs ist kein praktikabler Ansatz.
• Wir unterstützen und nutzen Branchenstandards. Die Standardisierung unserer Terminologie und Herangehensweise ermöglicht uns sicherzustellen, dass wir alles abdecken. Den Kunden hilft sie, unser Vorgehen nachzuvollziehen. So sorgen beispielsweise gängige Schwachstellenbewertungen gemäß Common Vulnerability Scoring System (CVSS) zwischen uns und unseren Kunden für Klarheit über den Schweregrad konkreter Schwachstellen. Wir befolgen auch die in ISO 27001 und von der Cloud Security Alliance (CSA) dargelegten Prozesse zum Management von Schwachstellen.
• Externe Sicherheitsforscher sind eine wertvolle Erweiterung unseres Teams. Wenn ein Atlassian-Produkt eine Schwachstelle aufweist, ist es in unserem Interesse und in dem unserer Kunden, diese so schnell wie möglich zu finden und zu beseitigen.
  • Atlassian beauftragt jedes Jahr unabhängige Drittanbieter mit Penetrationstests, um Sicherheitsschwachstellen in unseren Produkten zu finden und unser internes Sicherheitsteam bei Untersuchungen zu unterstützen, die hochspezialisierte Fähigkeiten erfordern.
  • Daher werden externe Sicherheitsforscher im Rahmen unseres Bug-Bounty-Programms finanziell entlohnt, wenn sie Schwachstellen in unseren Produkten entdecken. Mit der Unterstützung dieser externen Forscher können wir unser Team weit über herkömmliche Ansätze hinaus skalieren.
• Wir sind offen und transparent in Bezug auf unser Sicherheitstestprogramm. Wir stellen Beurteilungsschreiben (Letters of Assessment, LoA) für die Penetrationstests unserer Produkte und Statistiken zu den Fehlern, die im Rahmen unseres Bug Bounty-Programms gefunden wurden, zur Verfügung.

Zuverlässige, kontinuierliche Sicherheit

Penetrationstests

Wir beauftragen spezialisierte Sicherheitsdienstleister, um Penetrationstests unserer Produkte und anderer Systeme durchzuführen. Darüber hinaus haben wir ein internes Sicherheitstestteam, das mit externen Beratern zusammenarbeitet, um die technische Sicherheit von Projekten mit hoher Priorität zu gewährleisten, etwa bei einer neuen Produktfunktion (z. B.Whiteboards in Confluence), einem neuen Infrastruktur-Setup (z. B. unsere FedRAMP-Umgebung) oder einer Änderung an der Architektur (z. B. die neue Forge-Laufzeit).

Unser Ansatz für Penetrationstests ist in diesen Fällen zielgerichtet und fokussiert. Wir führen unter anderem die folgenden Tests durch:

• White-Box-Tests: Die Tester erhalten zur Unterstützung Designdokumente und Briefings von unseren Produktentwicklern und können diesen während des Engagements Fragen stellen.
• Tests mit Code-Unterstützung: Die Tester erhalten umfassenden Zugriff auf die relevante Codebasis, damit sie unerwartetes Systemverhalten bei den Tests besser diagnostizieren und potenzielle Ziele leichter ermitteln können.
• Bedrohungsbasierte Tests: Bei diesen Tests liegt der Schwerpunkt auf einem bestimmten Bedrohungsszenario, beispielsweise einer infizierten Instanz, bei der dann die laterale Verbreitung von diesem Ausgangspunkt aus getestet wird.
• Methodenbasierte Tests: Die Tester nutzen eine Reihe von angepassten White-Box-Tests, die auf branchenweit anerkannten Methoden wie dem Open Web Application Security Project (OWASP) basieren. So wird sichergestellt, dass die Tests auch Bedrohungen berücksichtigen, die nur für die Infrastruktur und Technologien von Atlassian gelten.

Wir veröffentlichen Beurteilungsschreiben (Letters of Assessment, LoAs) von unseren Partnern, die die Penetrationstests durchführen. Eine für die externe Nutzung bestimmte Version dieser LoAs ist unten auf dieser Seite zu finden. Da wir den Testern für ihre Beurteilungen umfassende Informationen zur Verfügung stellen, veröffentlichen wir nicht das gesamte Dokument. Die meisten dieser Systeme und Produkte werden später in unser öffentliches Bug-Bounty-Programm aufgenommen. So erhalten Kunden die gewünschte externe Bestätigung der Sicherheit. Die bei diesen Beurteilungen gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Sicherheitsschwachstellen behoben.

Bug-Bounty-Programm

Unser Bug-Bounty-Programm wird von Bugcrowd gehostet. Dieses Programm stellt sicher, dass unsere Produkte fortlaufend auf Sicherheitsschwachstellen getestet werden.

Wir sind davon überzeugt, dass die Teilnahme unabhängiger Sicherheitsexperten an unserem Bug-Bounty-Programm den effektivsten Prozess für externe Sicherheitstests darstellt. Dies begründen wir wie folgt:

• Bug-Bounty-Programme sind durchgehend aktiv. In einer agilen Entwicklungsumgebung mit häufigen Releases sind kontinuierliche Tests unverzichtbar.
• Im Bug-Bounty-Programm kommen mehr als 60.000 potenzielle Forscher zusammen. Dies ist eine ausreichend hohe Zahl an kompetenten Forschern, um die technische Sicherheit zu gewährleisten.
• Bug-Bounty-Sicherheitsforscher entwickeln spezielle Tools und gehen sowohl vertikal (bestimmte Arten von Bugs) als auch horizontal (bestimmte Bountys) vor. Diese Spezialisierung maximiert die Wahrscheinlichkeit, auch schwer erkennbare – und dennoch erhebliche – Schwachstellen zu entdecken.

Unser Bug-Bounty-Programm deckt mehr als 25 unserer Produkte und Umgebungen ab – von unseren Server-Produkten über mobile Apps bis hin zu Cloud-Produkten. Details zur Anzahl der gemeldeten Schwachstellen, unserer durchschnittlichen Reaktionszeit und der durchschnittlichen Prämienhöhe sind auf der Bugcrowd-Website zu finden. Dort haben sich mehr als 2.800 Forscher speziell für unser Programm registriert.

Zu den Schwachstellen, die im Zuge unseres Bug-Bounty-Programms erkannt werden sollen, zählen gängige Bedrohungen aus den Listen des Open Web Application Security Project (OWASP) und des Web Application Security Consortium (WASC).

Im Rahmen unserer Initiative für Offenheit und Transparenz laden wir alle Benutzer ein, die Seite zu unserem Bug-Bounty-Programm zu besuchen, sich für das Programm zu registrieren und uns auf den Prüfstand zu stellen.

Marketplace-Apps

Marketplace-Apps werden im Rahmen anderer, von Atlassian gehosteter Bug-Bounty-Programme geprüft, zum Beispiel dem Programm zur Offenlegung von Schwachstellen und dem Bug-Bounty-Programm für von Atlassian entwickelte Apps.

Von Kunden veranlasste Tests

Gemäß unseren Nutzungsbedingungen für unsere Cloud-Produkte erlauben wir vom Kunden initiierte Tests. Da wir uns zur Offenheit verpflichtet haben, veröffentlichen wir regelmäßig Statistiken aus unserem Bug-Bounty-Programm.

Wir sind der Meinung, dass unsere Bug-Bounty-Programme eine effiziente und ökonomische Methode sind, um die Sicherheit unserer Produkte und Services zu beurteilen. Gleichzeitig verstehen wir, dass Kunden gerne eigene Sicherheitstests durchführen möchten. Deshalb erlauben wir Sicherheitsbeurteilungen (Penetrationstests, Schwachstellentests) durch Kunden unter der Voraussetzung, dass bestimmte Sicherheitsregeln eingehalten werden.

Berichterstattung über Schwachstellen

Wenn du auf eine Schwachstelle stößt und diese an Atlassian melden möchtest, schaue dir bitte unsere Anweisungen zur Meldung von Schwachstellen an.

Einer der Unternehmenswerte von Atlassian lautet "Offene Unternehmenskultur – kein Bullsh**" und wir sind der Meinung, dass die Offenlegung von Schwachstellen zu diesem Wert dazugehört. Wir versuchen, Sicherheitsschwachstellen innerhalb der entsprechenden Service Level Objectives (SLOs) zu beheben. Wir akzeptieren Offenlegungsanträge, die im Rahmen unserer Bug-Bounty-Programme gestellt wurden, nachdem ein Problem behoben und in der Produktionsumgebung veröffentlicht wurde. Wenn ein Bericht jedoch Kundendaten enthält, wird der Antrag abgelehnt.Wenn du eine Offenlegung außerhalb eines unserer Bug-Bounty-Programme planst, bitten wir dich, dies rechtzeitig anzukündigen und zu warten, bis das jeweilige SLO abgeschlossen wurde.

Nicht von unserem Programm für Sicherheitstests abgedeckte Aspekte

Ebenso wie wir offen und klar mitteilen, welche Tests wir durchführen, benennen wir auch Tests, die wir nicht selbst durchführen oder derzeit nicht unterstützen. Bestimmte Arten von Sicherheitsrisiko mit geringem Risiko, wie Aufzählung und Erfassung von Informationen, werden im Allgemeinen nicht als signifikante Risiken angesehen.

Die richtige Einstufung

In unserer Richtlinie zur Behebung von Sicherheits-Bugs ist der SLO-Zeitrahmen (Service Level Objective) zur Behebung von Schwachstellen abhängig vom Schweregrad und Produkt festgelegt. Zur Bewertung von Schwachstellen nutzen wir das Common Vulnerability Scoring System, das uns hilft, Kunden über den Schweregrad von Schwachstellen zu informieren.

Zusammenfassung

Das Crowd-Sourcing-basierte Bug Bounty-Programm von Atlassian, externe Sicherheitsberater und unser internes Sicherheitstestteam bilden zusammen ein umfassendes, ausgereiftes und transparentes Sicherheitsgerüst. Durch das ständige Testen unserer Produkte und Plattformen bieten wir unseren Kunden kontinuierliche Sicherheit.

Möchtest du noch mehr wissen?

Wir haben in diesem kurzen Dokument auf einige andere Dokumente und Ressourcen verwiesen, mit denen du dich näher befassen solltest, wenn du mehr über unseren Ansatz für Sicherheitstests erfahren möchtest.

• Atlassian Trust Center
• Sicherheitsverfahren von Atlassian
• CSA STAR-Eintrag von Atlassian
• Atlassian-Richtlinie für die Behebung von Bugs
• Atlassian-Seite zum Melden von Schwachstellen
• Zuständigkeiten bei Atlassian für Sicherheitsvorfälle
• Atlassian Bug Bounty-Startseite
• Bug-Bounty-Programme von Atlassian
  • Bug Bounty für von Atlassian entwickelte Marketplace-Apps
  • Bug Bounty für von anderen Anbietern entwickelte Marketplace-Apps
  • Bug Bounty für Opsgenie
  • Bug Bounty für Statuspage
  • Bug Bounty für Trello
  • Bug Bounty für Halp
  • Atlassian Bug Bounty für alle anderen Produkte (Jira, Confluence, Bitbucket usw.)

Download der aktuellen Bug-Bounty-Berichte

Alle Sicherheitslücken, die in den unten aufgeführten Berichten identifiziert wurden, werden von uns intern über Jira verfolgt, so wie sie über das Bug-Bounty-Programm hereinkommen. Die im Bug-Bounty-Programm gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Sicherheitsschwachstellen behoben.

• Den aktuellen Bug-Bounty-Bericht von Atlassian herunterladen (Juli 2023)
• Den aktuellen Bug-Bounty-Bericht von Halp herunterladen (Juli 2023)
• Den aktuellen Bug-Bounty-Bericht von Jira Align herunterladen (Juli 2023)
• Den aktuellen Bug-Bounty-Bericht von Opsgenie herunterladen (Juli 2023)
• Den aktuellen Bug-Bounty-Bericht von Statuspage herunterladen (Juli 2023)
• Den aktuellen Bug-Bounty-Bericht von Trello herunterladen (Juli 2023)

Download von Beurteilungsschreiben (Letters of Assessment, LoA)

Alle Sicherheitslücken, die in den unten aufgeführten Berichten identifiziert wurden, werden von uns intern über Jira verfolgt, so wie sie über den Prozess für Penetrationstests hereinkommen. Die dabei gefundenen Probleme werden selektiert und gemäß unserem Service Level Objective (SLO) für öffentliche Sicherheitsschwachstellen behoben.

• Beurteilungsschreiben (Letter of Assessment) für Bitbucket Pipelines (2022-05)
• Beurteilungsschreiben (Letter of Assessment) für Trello (2022-08)
• Beurteilungsschreiben (Letter of Assessment) für Confluence Cloud (2022-10)
• Beurteilungsschreiben (Letter of Assessment) für Jira Service Management Data Center (2022-10)
• Beurteilungsschreiben (Letter of Assessment) für Jira Cloud Google OAuth (2022-10)
• Beurteilungsschreiben (Letter of Assessment) für die Atlassian Log4j Library für Confluence und Jira (2022-12)
• Beurteilungsschreiben (Letter of Assessment) für Jira Work Management Cloud (2022-12)
• Beurteilungsschreiben (Letter of Assessment) für Bitbucket Cloud (2022-12)
• Beurteilungsschreiben (Letter of Assessment) für Statuspage Cloud (2022-12)
• Beurteilungsschreiben (Letter of Assessment) für Jira Software (Cloud) (2023-02)
• Beurteilungsschreiben (Letter of Assessment) für Bamboo (2023-02)
• Beurteilungsschreiben (Letter of Assessment) für Jira Product Discovery (März 2023)
• Beurteilungsschreiben (Letter of Assessment) für Atlas (2023-04)
• Beurteilungsschreiben (Letter of Assessment) für Atlassian Analytics Visualization Platform (2023-05)
• Beurteilungsschreiben (Letter of Assessment) für Confluence Server und Data Center (2023-05)
• Beurteilungsschreiben (Letter of Assessment, LoA) für Fisheye und Crucible Server und Data Center (Mai 2023)
• Beurteilungsschreiben (Letter of Assessment) für Jira Server und Data Center (2023-05)
• Beurteilungsschreiben (Letter of Assessment) für Compass Cloud (2023-05)
• Beurteilungsschreiben (Letter of Assessment) für Jira Align (2023-06)
• Beurteilungsschreiben (Letter of Assessment) für Atlassian Access (2023-06)
• Beurteilungsschreiben (Letter of Assessment) für Crowd Server und Data Center (2023-06)
• Beurteilungsschreiben (Letter of Assessment) für Atlassian Assist (2023-07)
• Beurteilungsschreiben (Letter of Assessment) für Bitbucket Server und DC (2023-07)