Close

Política de solución de errores de seguridad

Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.


Ámbito de aplicación

Esta política describe cómo y cuándo resolvemos los errores de vulnerabilidad de seguridad de nuestros productos.

Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad

Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes objetivos para solucionar las incidencias de seguridad de nuestros productos:

Objetivos de resolución acelerados

Estos plazos se aplican a todos los productos en la nube de Atlassian y a cualquier otro software o sistema gestionado por Atlassian, o que se ejecute en infraestructura de Atlassian. También se aplican a Jira Align (tanto a la publicación en la nube como a la autogestionada).

  • Las vulnerabilidades de gravedad crítica se deben corregir en el producto en un plazo de 10 días tras su verificación
  • Las vulnerabilidades de gravedad alta se deben corregir en el producto en un plazo de 28 días tras su verificación.
  • Las vulnerabilidades de gravedad media se deben corregir en el producto en un plazo de 84 días tras su verificación
  • Las vulnerabilidades de gravedad baja se deben corregir en el producto en un plazo de 175 días tras su verificación.

Plazos de resolución ampliados

Estos objetivos se aplican a todos los productos autogestionados de Atlassian. Los productos autogestionados son aquellos que los clientes instalan en sistemas gestionados por ellos, e incluyen las aplicaciones móviles y Data Center de Atlassian.

  • Las vulnerabilidades de gravedad crítica, alta y media se deben solucionar en el producto en un plazo de 90 días tras su verificación
  • Las vulnerabilidades de gravedad baja se deben corregir en el producto en un plazo de 180 días tras su verificación.

Vulnerabilidades críticas

Cuando Atlassian descubre una vulnerabilidad de gravedad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:

  • Para los productos en la nube, lanzaremos una nueva publicación corregida del producto afectado lo antes posible.
  • Para los productos autogestionados:
    • Lanzaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.
    • Lanzaremos una nueva publicación de funciones para el producto afectado según el calendario de publicaciones.
    • Lanzaremos una publicación de corrección de errores para todas las publicaciones de LTS compatibles del producto afectado, de acuerdo con la política de fin del ciclo de vida del soporte de Atlassian.

Producto
Política de portabilidad con versiones anteriores
Ejemplo

Jira Software Server y Data Center

Jira Core Server y Data Center

Jira Service Management Server y Data Center (anteriormente, Jira Service Desk)

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Jira 8.6.x porque la versión 8.6.0 se publicó el 17 de diciembre de 2019
  • Jira 8.5.x porque la versión 8.5.0 se publicó el 21 de octubre de 2019
  • Jira 8.4.x porque la versión 8.4.0 se publicó el 9 de septiembre de 2019
  • Jira 8.3.x porque la versión 8.3.0 se publicó el 22 de julio de 2019
  • Jira 7.13.x porque 7.13 es una publicación de soporte a largo plazo y 7.13.0 se publicó el 28 de noviembre de 2018

Confluence Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Confluence 7.2.x porque la versión 7.2.0 se publicó el 12 de diciembre de 2019
  • Confluence 7.1.x porque la versión 7.1.0 se publicó el 4 de noviembre de 2019
  • Confluence 7.0.x porque la versión 7.0.0 se publicó el 10 de septiembre de 2019
  • Confluence 6.13.x porque 6.13 es una publicación de soporte a largo plazo y 6.13.0 se publicó el 4 de diciembre de 2018

Bitbucket Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 6.9.x porque la versión 6.9.0 se publicó el 10 de diciembre de 2019
  • Bitbucket 6.8.x porque la versión 6.8.0 se publicó el 6 de noviembre de 2019
  • Bitbucket 6.7.x porque la versión 6.7.0 se publicó el 1 de octubre de 2019
  • Bitbucket 6.6.x porque la versión 6.6.0 se publicó el 27 de agosto de 2019
  • Bitbucket 6.5.x porque la versión 6.5.0 se publicó el 24 de julio de 2019

Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores.

Todos los demás productos (Bamboo, Crucible, Fisheye, etc.)

Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bamboo 6.10.x porque se publicó el 17 de septiembre de 2019 y es la versión actual
  • Bamboo 6.9.x porque 6.9.0 es la versión anterior

Para Crowd, Fisheye y Crucible, proporcionaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.

Ejemplos de correcciones de vulnerabilidades críticas para productos autogestionados:

Si se desarrolla una corrección de vulnerabilidades de gravedad crítica el 01/02/2024, las siguientes son publicaciones de ejemplo que recibirían la corrección de errores:

Producto

Ejemplo

Jira Software

Ejemplo

Jira Software 9.13.x porque 9.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Software 9.12.x porque 9.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Software 9.4.x porque 9.4.0 es la publicación de soporte a largo plazo anterior

Jira Service Management

Ejemplo

Jira Service Management 5.13.x porque 5.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Service Management 5.12.x porque 5.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Service Management 5.4.x porque 5.4.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Confluence

Ejemplo

Confluence 8.7.x porque 8.7.0 es la publicación de funciones más reciente

Ejemplo

Confluence 8.5.x porque 8.5.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Confluence 7.19.x porque 7.19.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bitbucket

Ejemplo

Bitbucket 8.17.x porque 8.17.0 es la publicación de funciones más reciente

Ejemplo

Bitbucket 8.9.x porque 8.9.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Bitbucket 7.21.x porque 7.21.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bamboo

Ejemplo

Bamboo 9.5.x porque 9.5.0 es la publicación de funciones más reciente

Ejemplo

Bamboo 9.2.x porque 9.2.0 es la publicación de soporte a largo plazo más reciente

Crowd

Ejemplo

Crowd 5.3.x porque 5.3.0 es la publicación de funciones más reciente

Fisheye/Crucible

Ejemplo

Fisheye/Crucible 4.8.x porque 4.8.0 es la publicación de funciones más reciente

Ninguna otra versión del producto recibiría nuevas correcciones de errores.

Las mejoras frecuentes garantizan la seguridad de las instancias de tus productos. Es recomendable seguir con la publicación de corrección de errores más reciente de la última publicación de funciones o LTS de tu producto.

Vulnerabilidades no críticas

Cuando se detecta una incidencia de seguridad de una gravedad alta, media o baja, Atlassian tratará de publicar una corrección dentro de los objetivos de nivel de servicio mencionados al principio de este documento. La corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo, si es factible. El que esto se pueda hacer depende de dependencias complejas, cambios arquitectónicos y compatibilidad, entre otros factores.

Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.

Otra información

El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de las incidencias de seguridad.

Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.

Preguntas frecuentes

¿Qué es una corrección de errores de seguridad? Copy link to heading Copied! Mostrar +
  

La corrección de errores de seguridad es un conjunto de cambios que se realizan en un sistema o una aplicación para abordar vulnerabilidades que podrían aprovechar piratas informáticos. Estas vulnerabilidades, también conocidas como "errores de seguridad", podrían causar un acceso no autorizado, el robo de datos u otras actividades malintencionadas.

¿Qué es una vulnerabilidad? Copy link to heading Copied! Mostrar +
  

Se utiliza el término "vulnerabilidad" para definir debilidades o defectos que pueden ser aprovechados en caso de amenazas o riesgos. En el contexto de la ciberseguridad, una vulnerabilidad podría ser un defecto en el software, la red o el sistema que permite a usuarios no autorizados acceder y causar daños. Podría incluir cosas como software no actualizado, contraseñas poco seguras o falta de cifrado de datos.

¿Dónde puedo encontrar más información sobre las vulnerabilidades solucionadas en los productos de Data Center? Copy link to heading Copied! Mostrar +
  

Atlassian publica avisos de seguridad mensuales y da acceso al portal de divulgación de vulnerabilidades. El portal de divulgación de vulnerabilidades es un centro de información sobre las vulnerabilidades hechas públicas en todos nuestros productos. Se actualiza cada mes con la publicación de los boletines de seguridad y es una forma sencilla de buscar y consultar datos de los boletines anteriores.

¿Qué es una publicación de soporte a largo plazo? Copy link to heading Copied! Mostrar +
  

Las publicaciones de soporte a largo plazo son para los clientes de Data Center que prefieren contar con más tiempo para preparar las mejoras para nuevas versiones de funciones, pero que aun así necesitan recibir correcciones de errores. Algunos productos designarán una versión particular para que sea la publicación de soporte a largo plazo, lo que significa que las correcciones de errores de seguridad estarán disponibles para toda la ventana de soporte durante 2 años.

¿Qué es una publicación de funciones? Copy link to heading Copied! Mostrar +
  

Una publicación de funciones es una versión (por ejemplo, Jira Software 9.11) que contiene nuevas funciones o cambios importantes para las funciones actuales, pero que no se ha designado como publicación de soporte a largo plazo. Obtén más información sobre la política de solución de errores de Atlassian.