Política de solución de errores de seguridad
Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.
Ámbito de aplicación
A continuación se describe cómo y cuándo resolvemos los errores de seguridad de nuestros productos. No se describe el proceso completo de divulgación o asesoramiento que seguimos.
Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad
Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes plazos para solucionar las incidencias de seguridad de nuestros productos:
Plazos de resolución acelerados
Estos plazos se aplican a todos los productos en la nube de Atlassian y a cualquier otro software o sistema gestionado por Atlassian, o que se ejecute en infraestructura de Atlassian. También se aplican a Jira Align (tanto a la versión en la nube como a la autogestionada).
- Los errores de gravedad crítica se deben corregir en el producto en un plazo de 2 semanas tras su verificación
- Los errores de gravedad alta se deben corregir en el producto en un plazo de 4 semanas tras su verificación
- Los errores de gravedad media se deben corregir en el producto en un plazo de 6 semanas tras su verificación
- Los errores de gravedad baja se deben corregir en el producto en un plazo de 25 semanas tras su verificación
Plazos de resolución ampliados
Estos plazos se aplican a todos los productos autogestionados de Atlassian. Los productos autogestionados son aquellos que los clientes instalan en sistemas gestionados por ellos, e incluyen las aplicaciones de Server, Data Center, escritorio y dispositivos móviles de Atlassian.
- Los errores de gravedad crítica, alta y media se deben solucionar en el producto en un plazo de 90 días tras su verificación
- Los errores de gravedad baja se deben corregir en el producto en un plazo de 180 días tras su verificación
Vulnerabilidades críticas
Cuando Atlassian descubre una vulnerabilidad de seguridad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:
- Emitirá una nueva publicación corregida para la versión actual del producto afectado lo antes posible.
- Lanzará una nueva publicación de mantenimiento para una versión anterior de la siguiente manera:
Producto | Política de parches multifunción | Ejemplo |
---|---|---|
Jira Software Server y Data Center Jira Core Server y Data Center Jira Service Management Server y Data Center (anteriormente, Jira Service Desk) | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Confluence Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Bitbucket Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores. |
Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior. | Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Producto | Política de parches multifunción | Ejemplo |
---|---|---|
Jira Software Server y Data Center Jira Core Server y Data Center Jira Service Management Server y Data Center (anteriormente, Jira Service Desk) Confluence Server y Data Center Bitbucket Server y Data Center Bamboo Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Si se desarrolla una corrección de errores de seguridad de gravedad crítica el 2020/01/01, las siguientes son publicaciones de ejemplo que recibirían la corrección de errores:
Los siguientes son ejemplos de publicaciones que no recibirían nuevas versiones de corrección de errores:
|
Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior. | Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Crowd el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
ProductoJira Software Server y Data Center Jira Core Server y Data Center Jira Service Desk Server y Data Center |
Política de parches multifunciónEmite publicaciones de corrección de errores nuevas para:
|
EjemploPor ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
ProductoConfluence Server y Data Center |
Política de parches multifunciónEmite publicaciones de corrección de errores nuevas para:
|
EjemploPor ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
ProductoBitbucket Server y Data Center |
Política de parches multifunciónEmite publicaciones de corrección de errores nuevas para:
|
EjemploPor ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores. |
Producto |
Política de parches multifunciónSolo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior. |
EjemploPor ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Es fundamental mantenerse en la publicación más reciente de corrección de errores para la versión del producto que estás utilizando (esta es la práctica recomendada). Por ejemplo, si estás utilización Jira Software 7.5.0, deberías actualizar a Jira Software 7.5.3 de forma proactiva. Si se publica una nueva corrección de errores de seguridad, por ejemplo, Jira Software 7.5.4, el delta entre las dos versiones es mínimo (es decir, solo la corrección de seguridad), lo que facilita su aplicación.
El proceso de resolución de vulnerabilidades críticas no se aplica a nuestros productos de Atlassian Cloud, ya que Atlassian siempre corrige estos servicios sin ninguna acción adicional por parte de los clientes.
Vulnerabilidades no críticas
Cuando se detecta una incidencia de seguridad de una gravedad alta, media o baja, Atlassian tratará de publicar una corrección dentro de los objetivos de nivel de servicio mencionados al principio de este documento. La corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo, si es factible.
Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.
Otra información
El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de los problemas de seguridad.
Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.