Close

Política de solución de errores de seguridad

Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.


Ámbito de aplicación

A continuación se describe cómo y cuándo resolvemos los errores de seguridad de nuestros productos. No se describe el proceso completo de divulgación o asesoramiento que seguimos.

Acuerdo de nivel de servicio (SLA) de solución de errores de seguridad

Hemos definido los siguientes plazos para solucionar los problemas de seguridad de nuestros productos:

  • Errores de gravedad crítica  (puntuación de CVSS v2 >= 8, puntuación de CVSS v3 >= 9): se deben solucionar en el producto en un plazo de 4 semanas tras su notificación.
  • Errores de gravedad alta  (puntuación de CVSS v2 >= 6, puntuación de CVSS v3 >= 7): se deben solucionar en el producto en un plazo de 6 semanas tras su notificación.
  • Errores de gravedad media  (puntuación de CVSS v2 >= 3, puntuación de CVSS v3 >= 4): se deben solucionar en el producto en un plazo de 8 semanas tras su notificación.

Vulnerabilidades críticas

Cuando Atlassian descubre una vulnerabilidad de seguridad  crítica o un tercero la notifica, Atlassian hará todo lo siguiente:

  • Emitirá una nueva publicación corregida para la versión actual del producto afectado lo antes posible.
  • Lanzará una nueva publicación de mantenimiento para una versión anterior de la siguiente manera:
Producto
Política de parches multiversión
Ejemplo

Jira Software Server y Data Center

Jira Core Server y Data Center

Jira Service Desk Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión designada como “publicación para empresas” que no haya llegado al final de su vida útil.
  • Todas las versiones de las funciones (por ejemplo, 7.1 y 7.2) publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección
Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de diciembre de 2017, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
  • Jira 7.6.x (porque es la publicación actual)
  • Jira 7.5.x (porque la versión 7.5.0 se publicó el 6 de septiembre de 2017)
  • Jira 7.4.x (porque la versión 7.4.0 se publicó el 29 de junio de 2017)

Si, por ejemplo, la versión 7.1 se designara como “publicación para empresas”, también obtendría la corrección, ya que no habría llegado al final de su vida útil en esa fecha.

Confluence Server y Data Center

Emite publicaciones de corrección de errores nuevas para:

  • Cualquier versión designada como “publicación para empresas” que no haya llegado al final de su vida útil.

  • Todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de diciembre de 2017, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
  • Confluence 6.6.x (porque es la publicación actual)

  • Confluence 6.5.x (porque la versión 6.5.0 se publicó el 1 de noviembre de 2017)

  • Confluence 6.4.x (porque la versión 6.4.0 se publicó el 6 de septiembre de 2017)

  • Confluence 6.3.x (porque la versión 6.3.0 se publicó el 12 de julio de 2017)

  • Confluence 6.2.x (porque la versión 6.2.0 se publicó el 15 de mayo de 2017)

Si, por ejemplo, la versión 5.10 se designara como “publicación para empresas”, también obtendría la corrección, ya que no habría llegado al final de su vida útil en esa fecha.

Bitbucket Server y Data Center Emite publicaciones de corrección de errores nuevas para todas las versiones de las funciones publicadas en un plazo de seis meses a partir de la fecha de publicación de la corrección.

Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de diciembre de 2017, se deberán producir las siguientes publicaciones nuevas de corrección de errores:

  • Bitbucket 5.6.x (porque es la publicación actual)

  • Bitbucket 5.5.x (porque la versión 5.5.0 se publicó el 24 de octubre de 2017)

  • Bitbucket 5.4.x (porque la versión 5.4.0 se publicó el 19 de septiembre de 2017)

  • Bitbucket 5.3.x (porque la versión 5.3.0 se publicó el 15 de agosto de 2017)

  • Bitbucket 5.2.x (porque la versión 5.2.0 se publicó el 11 de julio de 2017)

  • Bitbucket 5.1.x (porque la versión 5.1.0 se publicó el 6 de junio de 2017)

  • Bitbucket 5.0.x (porque la versión 5.0.0 se publicó el 2 de mayo de 2017)

Otros productos (Bamboo, CrucibleFisheye, etc) Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones anterior. Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de diciembre de 2017, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
  • Bamboo 6.2.x (porque es la publicación actual)
  • Bamboo 6.1.x (porque la versión 6.1.x es la publicación anterior)

Es fundamental mantenerse en la publicación más reciente de corrección de errores correspondiente a la versión del producto que utilices (esta es la práctica recomendada). Por ejemplo, si utilizas Jira Software 7.5.0, deberías actualizar a Jira Software 7.5.3 de forma proactiva. Si se publica una nueva corrección de errores de seguridad, por ejemplo, Jira Software 7.5.4, el delta entre las dos versiones es mínimo (es decir, solo la corrección de seguridad), lo que facilita su aplicación. 

El proceso de resolución de vulnerabilidades críticas no se aplica a nuestros productos de Atlassian Cloud, ya que Atlassian siempre corrige estos servicios sin ninguna acción adicional por parte de los clientes.

 

Vulnerabilidades no críticas

Cuando se detecta un problema de seguridad de una gravedad alta, media o baja, Atlassian corrige este problema para la siguiente publicación programada. La corrección también se puede incluir en las versiones para empresas, si es factible. 

Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.

 

Información adicional

El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de los problemas de seguridad.

Evaluamos continuamente nuestras políticas de acuerdo a los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página. 

 

PREGUNTAS FRECUENTES

¿Qué es una publicación para empresas?

Las publicaciones para empresas son para los clientes de Server y Data Center que prefieren disponer de más tiempo para prepararse para las actualizaciones a nuevas versiones de funciones, pero que aun así necesitan recibir correcciones de errores. Algunas versiones particulares de algunos productos se designan como “publicación para empresas”, lo que significa que las correcciones de errores de seguridad se encontrarán disponibles para todo el plazo de soporte de dos años.

¿Qué es una publicación de funciones?

Una publicación de funciones es una versión (por ejemplo, la 4.3) que contiene funciones nuevas o cambios importantes en funciones actuales que no se ha designado como publicación para empresas. Para obtener más información sobre nuestra terminología de publicaciones, consulta la política de corrección de errores de Atlassian.

¿Por qué solo cubrís seis meses de publicaciones de funciones de Bitbucket, Jira y Confluence?

Bitbucket Server se publica con mucha frecuencia, por lo que seis meses cubren cinco o seis versiones principales. Desde mediados de 2017, Jira y Confluence han pasado a una cadencia de publicación similar y, ahora, también se están publicando cinco o seis veces al año. 

¿Por qué el parche multifunción de otros productos, como Bamboo o Fisheye/Crucible, solo afecta a la versión principal anterior?

Nuestros esfuerzos se centran en Jira, Confluence y Bitbucket Server, pero podemos considerar la posibilidad de ampliar a Bamboo, Fisheye/Crucible y otros productos para cubrir versiones importantes adicionales, en función de la demanda para ello.