Close
¿Quieres ver esta página en tu idioma?
Todos los idiomas
Elige tu idioma

Política de solución de errores de seguridad

Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.

Ámbito de aplicación

Esta política describe cómo y cuándo resolvemos los errores de vulnerabilidad de seguridad de nuestros productos.

Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad

Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes objetivos para solucionar las incidencias de seguridad de nuestros productos:

Objetivos de resolución acelerados

Estos plazos se aplican a lo siguiente:

  • Todos los productos de Atlassian basados en la nube.
  • Cualquier software o sistema que gestione Atlassian
  • Cualquier software o sistema que se ejecute en la infraestructura de Atlassian
  • Jira Align, versiones autogestionadas y en la nube

Según el nivel de vulnerabilidad, definimos los siguientes plazos para aplicar la corrección a un producto tras la verificación:

  • Las vulnerabilidades de gravedad crítica deben solucionarse en 10 días
  • Las vulnerabilidades de gravedad alta deben solucionarse en 28 días
  • Las vulnerabilidades de gravedad media deben solucionarse en 84 días
  • Las vulnerabilidades de gravedad baja deben solucionarse en 175 días

Plazos de resolución ampliados

Estos objetivos temporales se aplican a todos los productos y aplicaciones móviles de Data Center de Atlassian. Se trata de los productos que los clientes instalan en sistemas gestionados por ellos.

  • Las vulnerabilidades de gravedad crítica, alta y media se deben solucionar en el producto en un plazo de 90 días tras su verificación
  • Las vulnerabilidades de gravedad baja se deben corregir en el producto en un plazo de 180 días tras su verificación.

Modelo de responsabilidad compartida

Si bien Atlassian se compromete a ofrecer productos seguros listos para usar, también nos basamos en un modelo de responsabilidad compartida. Este modelo requiere que los clientes implementen prácticas que vayan más allá de la implementación y se extiendan a las fases operativas. Entre estas responsabilidades se incluyen:

  • Utilizar el software de Atlassian en redes privadas
  • Garantizar la implementación oportuna de las correcciones de seguridad una vez que se publiquen
  • Configurar los cortafuegos de aplicaciones web (WAF), las VPN, la autenticación multifactor y el inicio de sesión único
  • Implementar los controles de acceso y cifrado
  • Realizar copias de seguridad con regularidad
  • Realizar auditorías de seguridad periódicas

Vulnerabilidades críticas

Cuando Atlassian descubre una vulnerabilidad de gravedad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:

  • Para los productos en la nube, lanzaremos una nueva publicación corregida del producto afectado lo antes posible.
  • Para los productos autogestionados:
    • Lanzaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.
    • Lanzaremos una nueva publicación de funciones para el producto afectado según el calendario de publicaciones.
    • Lanzaremos una publicación de corrección de errores para todas las publicaciones de LTS compatibles del producto afectado, de acuerdo con la política de fin del ciclo de vida del soporte de Atlassian.

Producto
Política de parches multifunción
Ejemplo

Jira Software Server y Data Center

Jira Server and Data Center

Jira Service Management Server y Data Center (anteriormente, Jira Service Desk)

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Jira 8.6.x porque la versión 8.6.0 se publicó el 17 de diciembre de 2019
  • Jira 8.5.x porque la versión 8.5.0 se publicó el 21 de octubre de 2019
  • Jira 8.4.x porque la versión 8.4.0 se publicó el 9 de septiembre de 2019
  • Jira 8.3.x porque la versión 8.3.0 se publicó el 22 de julio de 2019
  • Jira 7.13.x porque 7.13 es una publicación de soporte a largo plazo y 7.13.0 se publicó el 28 de noviembre de 2018

Confluence Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Confluence 7.2.x porque la versión 7.2.0 se publicó el 12 de diciembre de 2019
  • Confluence 7.1.x porque la versión 7.1.0 se publicó el 4 de noviembre de 2019
  • Confluence 7.0.x porque la versión 7.0.0 se publicó el 10 de septiembre de 2019
  • Confluence 6.13.x porque 6.13 es una publicación de soporte a largo plazo y 6.13.0 se publicó el 4 de diciembre de 2018

Bitbucket Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión a la que se haya designado como "publicación de soporte a largo plazo" que no haya llegado al final del ciclo de vida.
  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 6.9.x porque la versión 6.9.0 se publicó el 10 de diciembre de 2019
  • Bitbucket 6.8.x porque la versión 6.8.0 se publicó el 6 de noviembre de 2019
  • Bitbucket 6.7.x porque la versión 6.7.0 se publicó el 1 de octubre de 2019
  • Bitbucket 6.6.x porque la versión 6.6.0 se publicó el 27 de agosto de 2019
  • Bitbucket 6.5.x porque la versión 6.5.0 se publicó el 24 de julio de 2019

Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores.

Todos los demás productos (Bamboo, Crucible, Fisheye, etc.)

Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bamboo 6.10.x porque se publicó el 17 de septiembre de 2019 y es la versión actual
  • Bamboo 6.9.x porque 6.9.0 es la versión anterior

Para Crowd, Fisheye y Crucible, proporcionaremos una publicación de corrección de errores para la publicación de funciones más reciente del producto afectado.

Ejemplos de correcciones de vulnerabilidades críticas para productos autogestionados:

Si se desarrolla una corrección de vulnerabilidades de gravedad crítica el 01/02/2024, las siguientes son publicaciones de ejemplo que recibirían la corrección de errores:

Producto

Ejemplo

Jira Software

Ejemplo

Jira Software 9.13.x porque 9.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Software 9.12.x porque 9.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Software 9.4.x porque 9.4.0 es la publicación de soporte a largo plazo anterior

Jira Service Management

Ejemplo

Jira Service Management 5.13.x porque 5.13.0 es la publicación de funciones más reciente

Ejemplo

Jira Service Management 5.12.x porque 5.12.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Jira Service Management 5.4.x porque 5.4.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Confluence

Ejemplo

Confluence 8.7.x porque 8.7.0 es la publicación de funciones más reciente

Ejemplo

Confluence 8.5.x porque 8.5.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Confluence 7.19.x porque 7.19.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bitbucket

Ejemplo

Bitbucket 8.17.x porque 8.17.0 es la publicación de funciones más reciente

Ejemplo

Bitbucket 8.9.x porque 8.9.0 es la publicación de soporte a largo plazo más reciente

Ejemplo

Bitbucket 7.21.x porque 7.21.0 es la segunda publicación de soporte a largo plazo compatible más reciente

Bamboo

Ejemplo

Bamboo 9.5.x porque 9.5.0 es la publicación de funciones más reciente

Ejemplo

Bamboo 9.2.x porque 9.2.0 es la publicación de soporte a largo plazo más reciente

Crowd

Ejemplo

Crowd 5.3.x porque 5.3.0 es la publicación de funciones más reciente

Fisheye/Crucible

Ejemplo

Fisheye/Crucible 4.8.x porque 4.8.0 es la publicación de funciones más reciente

Ninguna otra versión del producto recibiría nuevas correcciones de errores.

Las mejoras frecuentes garantizan la seguridad de las instancias de tus productos. Es recomendable seguir con la publicación de corrección de errores más reciente de la última publicación de funciones o LTS de tu producto.

Vulnerabilidades no críticas

Cuando se detecta un problema de seguridad de una gravedad alta, media o baja, Atlassian tratará de publicar una corrección dentro de los objetivos de nivel de servicio mencionados al principio de este documento. Si es factible, la corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo. El que esto se pueda hacer depende de diversos factores, como las dependencias del software, las modificaciones arquitectónicas y los problemas de compatibilidad, entre otros.

Para asegurarte de que tus instalaciones contienen las últimas correcciones de seguridad, actualízalas cada vez que haya una publicación de correcciones de errores disponible.

Otra información

El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de las incidencias de seguridad.

Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.

Preguntas frecuentes

¿Qué es un modelo de responsabilidad compartida? Copy link to heading Copied! Mostrar +
  

Un acuerdo entre un proveedor como Atlassian y sus clientes para aplicar las prácticas recomendadas que persistan más allá de la implementación inicial y se extiendan hasta las fases operativas. Para obtener más información, consulta la lista de comprobación de seguridad de Data Center y las responsabilidades compartidas.
¿Qué es una publicación de soporte a largo plazo? (ejemplo: Jira Software 10.3 LTS) Copy link to heading Copied! Mostrar +
  

Las publicaciones de soporte a largo plazo son para los clientes de Data Center que prefieren contar con más tiempo para las actualizaciones de las nuevas versiones de funciones, pero que aun así necesitan recibir correcciones de errores. Algunos productos designarán una versión específica como publicación de soporte a largo plazo, lo que indica que se ofrecerán correcciones de los errores de seguridad durante todo el período de soporte de dos años.
¿Qué es una publicación de funciones? (ejemplo: Jira Software 10.1) Copy link to heading Copied! Mostrar +
  

Una publicación de funciones es una versión que no ha sido designada como publicación de soporte a largo plazo. En cambio, contiene nuevas funciones, cambios en las plataformas compatibles (como las bases de datos, los sistemas operativos o las versiones de Git) o la eliminación de funciones.

Obtén más información sobre la política de solución de errores de Atlassian.
¿Qué es una publicación de corrección de errores? (ejemplo: Jira Software 10.2.1) Copy link to heading Copied! Mostrar +
  

Las publicaciones de correcciones de errores pueden incluir mejoras en la estabilidad y el rendimiento, así como soluciones a errores de funciones y vulnerabilidades de seguridad. Según la naturaleza de las correcciones, es posible que introduzcan cambios menores en las funciones existentes. Sin embargo, no incluyen nuevas funciones ni cambios de alto riesgo, por lo que se pueden adoptar rápidamente. Te recomendamos que actualices cuanto antes a la última publicación de corrección de errores de tu versión actual.
¿Dónde puedo encontrar las últimas publicaciones? Copy link to heading Copied! Mostrar +
  

Siempre puedes consultar el portal de descargas de software o visitar las páginas de descarga específicas del producto.
¿Qué es una publicación con soporte? Copy link to heading Copied! Mostrar +
  

Atlassian ofrece soporte a las publicaciones durante dos años después de la publicación inicial de la función o del soporte a largo plazo (LTS). Por ejemplo, ofrecimos soporte técnico para Jira Software 9.14.x durante dos años después de publicar Jira 9.14.0.
¿Dónde puedo encontrar una lista de las publicaciones con soporte? Copy link to heading Copied! Mostrar +
  

Consulta la política de fin del soporte de Atlassian Data Center para obtener la información más actualizada.
¿Qué es una vulnerabilidad? Copy link to heading Copied! Mostrar +
  

Se utiliza el término "vulnerabilidad" para definir debilidades o defectos que pueden ser aprovechados en caso de amenazas o riesgos. En el contexto de la ciberseguridad, una vulnerabilidad podría ser un defecto en el software, la red o el sistema que permite a usuarios no autorizados acceder o causar daños. Podría incluir software no actualizado, contraseñas poco seguras o falta de cifrado de datos.
¿Qué es una corrección de errores de seguridad? Copy link to heading Copied! Mostrar +
  

Una corrección de errores de seguridad es un conjunto de cambios realizados en un sistema o una aplicación para abordar las vulnerabilidades que los hackers podrían aprovechar. Estas vulnerabilidades, también conocidas como "errores de seguridad", podrían provocar un acceso no autorizado, el robo de datos u otras actividades malintencionadas.
¿Dónde puedo encontrar más información sobre las vulnerabilidades solucionadas en los productos de Data Center? Copy link to heading Copied! Mostrar +
  

Atlassian publica avisos de seguridad mensuales y da acceso al portal de divulgación de vulnerabilidades. El portal de divulgación de vulnerabilidades es un centro de información sobre las vulnerabilidades hechas públicas en todos nuestros productos. Se actualiza cada mes con la publicación de los boletines de seguridad y es una forma sencilla de buscar y consultar datos de los boletines anteriores.