Política de solución de errores de seguridad

Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.


Ámbito de aplicación

A continuación se describe cómo y cuándo resolvemos los errores de seguridad de nuestros productos. No se describe el proceso completo de divulgación o asesoramiento que seguimos.

Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad

Hemos definido los siguientes plazos para solucionar los problemas de seguridad de nuestros productos:

Plazos de resolución acelerados

Estos plazos se aplican a todos los productos en la nube de Atlassian y a cualquier otro software o sistema gestionado por Atlassian, o que se ejecute en infraestructura de Atlassian.

  • Errores de gravedad crítica (puntuación de CVSS v2 >= 8, puntuación de CVSS v3 >= 9): se deben solucionar en el producto en un plazo de 2 semanas tras su notificación.
  • Errores de gravedad alta (puntuación de CVSS v2 >= 6, puntuación de CVSS v3 >= 7): se deben solucionar en el producto en un plazo de 4 semanas tras su notificación.
  • Errores de gravedad media (puntuación de CVSS v2 >= 3, puntuación de CVSS v3 >= 4): se deben solucionar en el producto en un plazo de 6 semanas tras su notificación.
  • Errores de gravedad baja (puntuación de CVSS v2 < 3, puntuación de CVSS v3 < 4): se deben solucionar en el producto en un plazo de 25 semanas tras su notificación.

Plazos de resolución ampliados

Estos plazos se aplican a todos los productos autogestionados de Atlassian y a Jira Align (tanto la versión Cloud como la autogestionada). Los productos autogestionados son aquellos que los clientes instalan en sistemas gestionados por ellos, e incluyen las aplicaciones de Server, Data Center, escritorio y dispositivos móviles de Atlassian.

  • Los errores de gravedad crítica, alta y media (puntuación de CVSS v2 >= 3, puntuación de CVSS v3 >= 4): se deben solucionar en el producto en un plazo de 90 días tras su notificación.
  • Los errores de gravedad baja (puntuación de CVSS v2 < 3, puntuación de CVSS v3 < 4) se deben solucionar en el producto en un plazo de 180 días tras su notificación.

Vulnerabilidades críticas

Cuando Atlassian descubre una vulnerabilidad de seguridad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:

  • Emitirá una nueva publicación corregida para la versión actual del producto afectado lo antes posible.
  • Lanzará una nueva publicación de mantenimiento para una versión anterior de la siguiente manera:

Producto
Política de parches multifunción
Ejemplo

Jira Software Server y Data Center

Jira Core Server y Data Center

Jira Service Desk Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Jira 8.6.x porque la versión 8.6.0 se publicó el 17 de diciembre de 2019
  • Jira 8.5.x porque la versión 8.5.0 se publicó el 21 de octubre de 2019
  • Jira 8.4.x porque la versión 8.4.0 se publicó el 9 de septiembre de 2019
  • Jira 8.3.x porque la versión 8.3.0 se publicó el 22 de julio de 2019
  • Jira 7.13.x porque 7.13 es una publicación de soporte a largo plazo y 7.13.0 se publicó el 28 de noviembre de 2018

Confluence Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Confluence 7.2.x porque la versión 7.2.0 se publicó el 12 de diciembre de 2019
  • Confluence 7.1.x porque la versión 7.1.0 se publicó el 4 de noviembre de 2019
  • Confluence 7.0.x porque la versión 7.0.0 se publicó el 10 de septiembre de 2019
  • Confluence 6.13.x porque 6.13 es una publicación de soporte a largo plazo y 6.13.0 se publicó el 4 de diciembre de 2018

Bitbucket Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 6.9.x porque la versión 6.9.0 se publicó el 10 de diciembre de 2019
  • Bitbucket 6.8.x porque la versión 6.8.0 se publicó el 6 de noviembre de 2019
  • Bitbucket 6.7.x porque la versión 6.7.0 se publicó el 1 de octubre de 2019
  • Bitbucket 6.6.x porque la versión 6.6.0 se publicó el 27 de agosto de 2019
  • Bitbucket 6.5.x porque la versión 6.5.0 se publicó el 24 de julio de 2019

Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores.

Todos los demás productos (Bamboo, Crucible, Fisheye, etc.)

Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bamboo 6.10.x porque se publicó el 17 de septiembre de 2019 y es la versión actual
  • Bamboo 6.9.x porque 6.9.0 es la versión anterior
Producto

Jira Software Server y Data Center

Jira Core Server y Data Center

Jira Service Desk Server y Data Center

Política de parches multifunción

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se le designó una "publicación de soporte a largo plazo" que no ha llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.
Ejemplo

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Jira 8.6.x porque la versión 8.6.0 se publicó el 17 de diciembre de 2019
  • Jira 8.5.x porque la versión 8.5.0 se publicó el 21 de octubre de 2019
  • Jira 8.4.x porque la versión 8.4.0 se publicó el 9 de septiembre de 2019
  • Jira 8.3.x porque la versión 8.3.0 se publicó el 22 de julio de 2019
  • Jira 7.13.x porque 7.13 es una publicación de soporte a largo plazo y 7.13.0 se publicó el 28 de noviembre de 2018
Producto

Confluence Server y Data Center

Política de parches multifunción

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se le designó una "publicación de soporte a largo plazo" que no ha llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.
Ejemplo

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Confluence 7.2.x porque la versión 7.2.0 se publicó el 12 de diciembre de 2019
  • Confluence 7.1.x porque la versión 7.1.0 se publicó el 4 de noviembre de 2019
  • Confluence 7.0.x porque la versión 7.0.0 se publicó el 10 de septiembre de 2019
  • Confluence 6.13.x porque 6.13 es una publicación de soporte a largo plazo y 6.13.0 se publicó el 4 de diciembre de 2018
Producto

Bitbucket Server y Data Center

Política de parches multifunción

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se le designó una "publicación de soporte a largo plazo" que no ha llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.
Ejemplo

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 6.9.x porque la versión 6.9.0 se publicó el 10 de diciembre de 2019
  • Bitbucket 6.8.x porque la versión 6.8.0 se publicó el 6 de noviembre de 2019
  • Bitbucket 6.7.x porque la versión 6.7.0 se publicó el 1 de octubre de 2019
  • Bitbucket 6.6.x porque la versión 6.6.0 se publicó el 27 de agosto de 2019
  • Bitbucket 6.5.x porque la versión 6.5.0 se publicó el 24 de julio de 2019

Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores.

Producto

Todos los demás productos (Bamboo, Crucible, Fisheye, etc.)

Política de parches multifunción

Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior.

Ejemplo

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bamboo 6.10.x porque se publicó el 17 de septiembre de 2019 y es la versión actual
  • Bamboo 6.9.x porque 6.9.0 es la versión anterior

Es fundamental mantenerse en la publicación más reciente de corrección de errores para la versión del producto que estás utilizando (esta es la práctica recomendada). Por ejemplo, si estás utilización Jira Software 7.5.0, deberías actualizar a Jira Software 7.5.3 de forma proactiva. Si se publica una nueva corrección de errores de seguridad, por ejemplo, Jira Software 7.5.4, el delta entre las dos versiones es mínimo (es decir, solo la corrección de seguridad), lo que facilita su aplicación.

El proceso de resolución de vulnerabilidades críticas no se aplica a nuestros productos de Atlassian Cloud, ya que Atlassian siempre corrige estos servicios sin ninguna acción adicional por parte de los clientes.

Vulnerabilidades no críticas

Cuando se descubre una incidencia de seguridad de una gravedad alta, media o baja, Atlassian corrige esta incidencia para la siguiente publicación programada. La corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo, si es factible.

Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.

Otra información

El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de los problemas de seguridad.

Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.

Preguntas frecuentes

¿Qué es una "publicación de soporte a largo plazo? Mostrar +
  

Las publicaciones de soporte a largo plazo son para los clientes de Server y Data Center que prefieren contar con más tiempo para preparar las actualizaciones para nuevas versiones de la función, pero que aun así necesitan recibir correcciones de errores. Algunos productos designarán una versión particular para que sea la publicación de soporte a largo plazo, lo que significa que las correcciones de errores de seguridad estarán disponibles para toda la ventana de soporte durante 2 años.

¿Qué es una publicación de funciones? Mostrar +
  

Una publicación de función es una versión (por ejemplo, 4.3) que contiene nuevas funciones o cambios importantes para las funciones actuales, pero que no se ha designado como publicación de soporte a largo plazo. Consulta la Política de corrección de errores de Atlassian para obtener más información sobre nuestra terminología de publicación.

¿Por qué solo cubrís seis meses de versiones de funciones de Bitbucket, Jira y Confluence? Mostrar +
  

Bitbucket Server se publica con mucha frecuencia, por lo que seis meses cubren cinco o seis versiones principales. Desde mediados de 2017, Jira y Confluence han pasado a un ritmo de versión similar y, ahora, también se están publicando cinco o seis veces al año.

¿Por qué el parche multifunción de otros productos, como Bamboo o Fisheye/Crucible, solo afecta a la versión principal anterior? Mostrar +
  

Nuestros esfuerzos se centran en Jira, Confluence y Bitbucket Server, pero podemos considerar la posibilidad de ampliar a Bamboo, Fisheye, Crucible y otros productos para cubrir versiones importantes adicionales, en función de la demanda para ello.