Close
¿Quieres ver esta página en tu idioma?
Todos los idiomas
Elige tu idioma
Productos
Para equipos
Soporte
Pruébalo ahora
Comprar
Search Toggle menu
Close search

Contenido destacado

Jira Software

Seguimiento de proyectos e incidencias

Confluence

Colaboración de contenido

Jira Service Management

ITSM de alta velocidad

Trello

Gestión visual de proyectos

Ver todos los productos

Nuevos productos de Point A

Innovaciones de Atlassian

Ver todo

Atlas

Directorio de trabajo en equipo

Compass

Plataforma de experiencia del desarrollador

Marketplace

Conecta miles de aplicaciones para todos tus productos de Atlassian

Close dropdown

Por tamaño del equipo

Empresas emergentes

Ideal para empresas emergentes, desde la gestación hasta su salida a bolsa

Negocios pequeños

Consigue las herramientas adecuadas para el crecimiento de tu negocio

Enterprise

Descubre cómo garantizamos el éxito de los grandes equipos

Por función del equipo

software

Planifica, crea y lanza productos de calidad

Marketing

Traza una estrategia de éxito

RR. HH.

Optimiza la gestión de los recursos humanos

Legal

Trabaja con seguridad y confianza

Government

Efficient, secure, mission focused

Operaciones

Dirige tu empresa de forma eficiente

TI

Ofrece buenos servicios y asistencia

Finanzas

Simplifica todos los procesos financieros

Respuesta ante incidencias

Responder, resolver y aprender de las incidencias

Ver todos los productos
Close dropdown

Recursos

Documentación

Guías de todos nuestros productos

Atlassian Migration Program

Herramientas y guías para la migración

Hoja de ruta de Cloud

Próximas publicaciones de funciones

Compra y licencia

Preguntas frecuentes sobre nuestras políticas

Servicios de asistencia

Servicios empresariales

Soporte personal para equipos grandes

Soporte por parte de partners

Consultores externos de confianza

Asistencia de Atlassian

Un centro de recursos para equipos y administradores

Aprende y conecta

Acerca de nosotros

Nuestra misión e historia

Resumen

Ofertas de empleo, valores y más

Atlassian University

Formación y certificaciones para todos los niveles de competencias

Comunidad de Atlassian

Un foro para conectar, compartir y aprender

Close dropdown

Nuestro enfoque sobre las pruebas de seguridad externas

Los clientes suelen solicitar a Atlassian informes de pruebas de penetración para garantizar el control de los procesos que implementamos para identificar (y solucionar) las vulnerabilidades de seguridad en los productos de Atlassian y Atlassian Cloud. El enfoque de nuestras pruebas de seguridad externas se desarrolla en torno al concepto de "control permanente", en lugar de tratarse de una prueba de penetración puntual, disponemos de un modelo siempre activo, de pruebas continuas, que usa un programa de recompensas por errores basado en la colaboración de forma abierta.

Nuestra filosofía y enfoque

A Atlassian se nos conoce por nuestros valores, y esos valores realmente influyen en todo lo que hacemos, incluido nuestro enfoque en relación con las pruebas de seguridad. En la práctica, nuestros valores nos han llevado a basarnos en los siguientes enfoques y filosofías:

  • Los errores son una parte inevitable del proceso de desarrollo. La cuestión no es si tenemos errores, la cuestión es la rapidez y eficacia con la que los encontramos y los abordamos. Esto no quiere decir que nos gusten los errores o que no estemos innovando constantemente para reducir su frecuencia y gravedad, pero cuando se trata de errores de software, la negación no es un enfoque efectivo.
  • Nuestro objetivo es aumentar el coste de encontrar y explotar vulnerabilidades en nuestros productos y servicios. Mediante la rápida identificación y resolución de problemas, tratamos de aumentar el coste económico que supone encontrar errores de seguridad. Al aumentar el coste de explotar una vulnerabilidad, al hacer que lleve más tiempo, que sean necesarios más conocimientos y más recursos por parte de los usuarios malintencionados, reducimos su retorno de la inversión. Si podemos reducirlo lo suficiente, se volverá prohibitivo o no será atractivo para ellos.
  • Respaldamos y utilizamos los estándares de la industria: estandarizar nuestra terminología y nuestro enfoque nos sirve para garantizar que abarcamos todo lo necesario y ayuda a los clientes a entender lo que hacemos. Por ejemplo, al clasificar vulnerabilidades mediante el sistema común de puntuación de vulnerabilidades (CVSS), compartimos con ellos una idea clara de la gravedad de vulnerabilidades concretas. Además, seguimos los procesos de gestión de vulnerabilidades descritos en la ISO 27001 y en Cloud Security Alliance (CSA).
  • Los investigadores de seguridad externos son una valiosa ampliación de nuestro equipo: si un producto de Atlassian tiene una vulnerabilidad, encontrarla y resolverla lo antes posible nos interesa tanto a nosotros como a los clientes. Atlassian incentiva a los investigadores externos a detectar vulnerabilidades en nuestros productos a cambio de premios en efectivo como parte de nuestro programa de recompensas por errores. Con la ayuda de los investigadores de seguridad externos, podemos escalar nuestro equipo más allá de los enfoques tradicionales.
  • Somos abiertos y transparentes en lo referente a nuestro programa de pruebas de seguridad. Nuestro programa de recompensas por errores proporciona estadísticas sobre los errores encontrados, somos transparentes en lo relativo a la rapidez con la que tratamos de solucionar los errores de seguridad y ponemos a tu disposición informes resumidos de las pruebas al final de esta página, siempre que sea posible.

Control de calidad permanente

Pruebas de penetración

Usamos firmas especializadas en asesoramiento sobre seguridad para realizar pruebas de penetración en productos e infraestructuras de alto riesgo. Esta puede ser una nueva infraestructura creada para nosotros (p.ej. nuestro entorno de Cloud), un nuevo producto (p.ej. Trello) o una nueva arquitectura fundamental (p.ej. el amplio uso de los microservicios).

Nuestro enfoque a las pruebas de penetración en estos casos es altamente específico y tiene un enfoque claro. Las pruebas serán las siguientes:

  • Caja blanca: los evaluadores reciben documentación de diseño e informes de nuestros ingenieros de productos que respalden sus pruebas.
  • Asistidas con código: los evaluadores tienen acceso completo a la base de código correspondiente para ayudar a diagnosticar cualquier comportamiento inesperado del sistema durante la prueba e identificar los posibles objetivos.
  • Basadas en las amenazas: las pruebas se centran en un escenario de amenaza concreto, como asumir que existe una instancia comprometida y probar el movimiento lateral desde ese punto de partida.

Publicamos cartas de evaluación (LoA, por sus siglas en inglés) de nuestros socios de pruebas de penetración y las ponemos a disposición de los consumidores externos en la parte inferior de esta página. Debido a la amplia información interna disponible para los evaluadores a la hora de llevar a cabo estas evaluaciones, no ofrecemos informes completos. La mayoría de estos sistemas y productos se incluirán posteriormente en nuestro programa público de recompensas por errores, lo que proporciona el control externo continuo que buscan nuestros clientes. Los hallazgos de estas evaluaciones se clasificarán y solucionarán según nuestro SLO de vulnerabilidades de seguridad pública.

Programa de recompensas por errores

Nuestro programa de recompensas por errores se aloja en Bugcrowd. El objetivo de este programa es garantizar que nuestros productos se prueben constantemente para detectar vulnerabilidades de seguridad. Este es el núcleo de nuestro programa de pruebas de seguridad externas y es el resultado de grandes esfuerzos de investigación, análisis y comparación entre los modelos de prueba.

Creemos que los numerosos investigadores de seguridad independientes que participan en nuestro programa de recompensas por errores proporcionan el proceso de pruebas de seguridad externas más efectivo por los siguientes motivos:

  1. El programa de recompensas por errores está siempre activo. Las pruebas de penetración suelen estar limitadas en el tiempo a unas semanas. En un entorno de desarrollo realmente ágil con publicaciones frecuentes, las pruebas continuas son una necesidad.
  2. El programa de recompensas por errores cuenta con más de 60 000 posibles evaluadores. Las pruebas de penetración suelen contar con 1 o 2 participantes. Independientemente de lo buenos que sean esos 1 o 2 participantes, nunca superarán la capacidad añadida del equipo de participantes de recompensas por errores.
  3. Los investigadores del programa de recompensas por errores desarrollan herramientas y procesos especializados en vertical (tipos de errores específicos) y en horizontal (recompensas específicas). Esta especialización ofrece la mayor oportunidad de identificar vulnerabilidades que son significativas, pero difíciles de detectar.

Seguimos contando con asesores de seguridad y especialistas en pruebas de penetración para soporte interno, pero para nuestro programa externo de amplia cobertura, el programa de recompensas por errores es una opción más adecuada. Creemos que la combinación de enfoques maximiza las oportunidades de encontrar vulnerabilidades.

Más de 25 de nuestros productos o entornos, que se extienden a través de nuestros productos de servidor, aplicaciones móviles y productos de Cloud, están dentro del alcance de nuestro programa de recompensas por errores. Los detalles de la cantidad de vulnerabilidades notificadas, nuestro tiempo medio de respuesta y el pago medio por recompensa se incluyen en el sitio de Bugcrowd, con más de 800 evaluadores registrados específicamente para nuestro programa.

Las vulnerabilidades que buscamos para identificarlas a través de nuestro programa de recompensas por errores incluyen los tipos comunes detectados en las listas de amenazas Open Web Application Security Project (OWASP) y Web Application Security Consortium (WASC) . Entre ellas, se incluyen:

  • Fuga de datos entre instancias/acceso
  • Ejecución de código remota (RCE, Remote Code Execution)
  • Falsificación de petición en el servidor (SSRF, Server-Side Request Forgery)
  • Filtro de scripts de sitios (XSS,Cross-site Scripting)
  • Falsificación de petición en sitios cruzados (CSRF, Cross-site Request Forgery)
  • Inyección SQL (SQLi, SQL Injection)
  • Ataques de entidades externas XML (XXE, XML External Entity Attacks)
  • Vulnerabilidades del control de acceso (problemas de referencia de objeto directo no seguro, etc.)
  • Problemas de paso de ruta/directorio

Como parte de nuestra iniciativa por ser accesibles y transparentes, invitamos a cualquier persona a que visite nuestra página del programa de recompensas por errores, se registre en el programa y nos ponga a prueba.

Aplicaciones de Marketplace: las aplicaciones de Marketplace están excluidas del programa de recompensas por errores principal de Atlassian. No obstante, estas aplicaciones de Marketplace participan en otros programas de recompensas por errores organizados por Atlassian, como el programa de divulgación de vulnerabilidades y el programa de recompensas por errores de aplicaciones desarrolladas por Atlassian.

Pruebas iniciadas por los clientes: de conformidad con las Condiciones de uso de nuestros productos de Cloud, permitimos que los clientes inicien pruebas. Nos comprometemos a ser abiertos y seguiremos publicando las estadísticas de nuestro programa de recompensas por errores de forma periódica.

Aunque creemos que los programas de recompensas por errores son un enfoque más eficiente y económico para la evaluación de la seguridad de nuestros productos y servicios, comprendemos que desees comprobar la seguridad por tu cuenta. Permitimos que se lleven a cabo evaluaciones de seguridad (pruebas de penetración, valoración de vulnerabilidades) por parte de los clientes, aunque pedimos que se sigan algunas normas para garantizar la seguridad de todos.

Informes de vulnerabilidades

Si encuentras una incidencia y quieres informar a Atlassian, consulta nuestras instrucciones para notificar vulnerabilidades.

En Atlassian, uno de nuestros valores es "Empresa abierta, sin tonterías", y creemos que la divulgación de vulnerabilidades es una pieza clave para llevarlo a la práctica. Nuestro objetivo es corregir las vulnerabilidades de seguridad dentro de los objetivos de nivel de servicio (SLO) relevantes. Aceptamos las solicitudes de divulgación realizadas a través de nuestros programas de recompensas por errores después de que las incidencias se resuelvan y publiquen en producción. Sin embargo, la solicitud se rechazará si el informe incluye datos de clientes. Si tienes intención de divulgar datos fuera de nuestros programas de recompensas por errores, te pedimos que nos avises de manera razonable y que esperes a que se apruebe el SLO correspondiente.

Exclusiones de nuestro programa de pruebas de seguridad

Del mismo modo que mostramos accesibilidad y claridad sobre las pruebas que realizamos, también aplicamos estos mismos principios sobre las pruebas que no realizamos nosotros mismos o que no incluimos en la actualidad. Las siguientes pruebas están excluidas de nuestro programa de pruebas de seguridad:

Determinados tipos de vulnerabilidades de bajo riesgo: nuestros productos se han desarrollado para liberar el potencial de cada equipo, y esto requiere colaboración. Las vulnerabilidades relacionadas con la enumeración y la recopilación de información no se suelen considerar riesgos significativos.

Medición de los elementos adecuados

Tenemos una política de solución de errores de seguridad que establece los plazos del Objetivo de Nivel de Servicio (SLO) para corregir las vulnerabilidades en función de la gravedad y el producto. Al evaluar vulnerabilidades, usamos el sistema común de puntuación de vulnerabilidades, que permite comunicar la gravedad de las vulnerabilidades a nuestros clientes.

Además, nuestro objetivo es aumentar los costes de búsqueda y explotación de vulnerabilidades en nuestros productos. Para cuantificar ese coste, nos valemos de programas de recompensas por errores. A medida que mejora nuestra estrategia de seguridad, la cantidad de errores identificados a través de nuestros programas de recompensas por errores debería disminuir y, a medida que esto suceda, deberemos aumentar la cantidad que estamos dispuestos a pagar por dichos errores si queremos seguir recibiendo informes de calidad. Por ejemplo, si la cantidad de esfuerzo necesario para encontrar una vulnerabilidad con una recompensa de 3000 $ hace que no valga la pena (ya que el esfuerzo que requiere supera los 3000 $), habremos aumentado el coste de encontrar dicha vulnerabilidad.

Dicho de otro modo, deberíamos ver cómo nuestros pagos por recompensas aumentan con el tiempo.

El resumen

Atlassian cuenta con un programa de pruebas de seguridad externo, consolidado, accesible y transparente organizado en torno a nuestro programa de recompensas por errores.

¿Quieres profundizar?

Hemos mencionado muchos otros documentos y recursos en este breve artículo, y te animamos a profundizar en ellos para comprender mejor nuestro enfoque de las pruebas de seguridad.

Descargar los informes de recompensas por errores actuales

Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de entrada del programa de recompensas por errores, y los hallazgos se clasifican y se solucionan según nuestro SLO de vulnerabilidades de seguridad pública.

Descargar las cartas de evaluación (LoA)

Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de informes de pruebas de penetración, y cualquier hallazgo obtenido de estas evaluaciones se clasificará y se solucionará según nuestro SLO de vulnerabilidades de seguridad pública.