Nuestro enfoque sobre las pruebas de seguridad externas
Te damos la bienvenida a nuestro centro de pruebas de seguridad, pensado para proporcionarte información exhaustiva sobre las iniciativas en las pruebas de seguridad implementadas por Atlassian para garantizar la seguridad y la protección de nuestros productos y estimados clientes.
¿Buscas algo más específico? Agiliza tu búsqueda con uno de los siguientes enlaces o sigue leyendo para profundizar en el programa externo de pruebas de seguridad de Atlassian.
Atlassian adopta un enfoque multifacético con respecto a los controles de seguridad externos de nuestros productos. Tenemos un modelo de pruebas siempre activas que utiliza un programa de recompensas por errores de colaboración abierta y participativa, que se complementa con pruebas de penetración de caja blanca periódicas realizadas por consultorías de seguridad externas y nuestro equipo de pruebas de seguridad interno.
Nuestra filosofía y enfoque
A Atlassian se nos conoce por nuestros valores, los cuales realmente influyen en todo lo que hacemos, incluido nuestro enfoque en relación con las pruebas de seguridad. En la práctica, nuestros valores nos han llevado a basarnos en los siguientes enfoques y filosofías:
- Los errores son una parte inevitable del proceso de desarrollo. La cuestión no es si tenemos errores, sino la rapidez y la eficacia con la que los encontramos y los abordamos. Esto no significa que nos gusten los errores o que no innovemos constantemente para reducir su frecuencia y gravedad, pero cuando se trata de errores de software, la negación no es un enfoque práctico.
- Respaldamos y utilizamos los estándares de la industria: estandarizar nuestra terminología y nuestro enfoque nos sirve para garantizar que abarcamos todo lo necesario y ayuda a los clientes a entender lo que hacemos. Por ejemplo, al clasificar las vulnerabilidades mediante el sistema común de puntuación de vulnerabilidades (CVSS), compartimos con ellos una idea clara de la gravedad de vulnerabilidades concretas. Además, seguimos los procesos de gestión de vulnerabilidades descritos en la ISO 27001 y en Cloud Security Alliance (CSA).
- Los investigadores de seguridad y los evaluadores de penetración externos son una valiosa ampliación de nuestro equipo: si un producto de Atlassian tiene una vulnerabilidad, encontrarla y resolverla lo antes posible nos interesa tanto a nosotros como a los clientes.
- Atlassian contrata todos los años a evaluadores de penetración externos e independientes para que detecten las vulnerabilidades de seguridad en nuestros productos y complementan a nuestro equipo de seguridad interno en las actividades que requieran habilidades altamente especializadas.
- Además, Atlassian incentiva a los investigadores externos para que detecten vulnerabilidades en nuestros productos a cambio de premios en efectivo como parte de nuestro programa de recompensas por errores. Con la ayuda de los investigadores de seguridad externos, podemos escalar nuestro equipo más allá de los enfoques tradicionales.
- Somos abiertos y transparentes en cuanto a nuestro programa de pruebas de seguridad. Proporcionamos cartas de evaluación (LoA) para las pruebas de penetración realizadas en nuestros productos y estadísticas sobre los errores encontrados a través de nuestro programa de recompensas por errores.
Control de calidad permanente
Pruebas de penetración
Recurrimos a empresas especializadas en servicios de seguridad para realizar pruebas de penetración en nuestros productos y otros sistemas. Además, contamos con un equipo de pruebas de seguridad interno que colabora con los consultores externos para garantizar la seguridad técnica de los proyectos de alta prioridad, por ejemplo, una nueva función del producto (por ejemplo, las pizarras de Confluence), una nueva configuración de la infraestructura (por ejemplo, nuestro entorno de FedRAMP) o una nueva arquitectura (por ejemplo, nuevo ambiente de ejecución Forge).
Nuestro enfoque sobre las pruebas de penetración en estos casos es específico y claro. Las pruebas serán las siguientes:
- Caja blanca: los evaluadores recibirán documentación de diseño y sesiones informativas de nuestros ingenieros de productos y dispondrán de los medios para ponerse en contacto con ellos si tienen dudas durante la participación para respaldar sus pruebas
- Asistidas con código: los evaluadores tienen acceso completo a la base de código correspondiente para ayudar a diagnosticar cualquier comportamiento inesperado del sistema durante la prueba e identificar los posibles objetivos.
- Basadas en las amenazas: las pruebas se centran en un escenario de amenaza concreto, como asumir que existe una instancia comprometida y probar el movimiento lateral desde ese punto de partida
- Basadas en la metodología: los evaluadores utilizan una gama de estrategias de prueba de caja blanca personalizadas basadas en metodologías reconocidas en el sector, como Open Web Application Security Project (OWASP). Así se garantiza que las pruebas tengan en cuenta las amenazas exclusivas de la infraestructura y las tecnologías de Atlassian.
Publicamos cartas de evaluación (LoA, por sus siglas en inglés) de nuestros socios de pruebas de penetración y las ponemos a disposición de los consumidores externos en la parte inferior de esta página. Debido a la amplia información interna disponible para los evaluadores a la hora de llevar a cabo estas evaluaciones, no ofrecemos informes completos. La mayoría de estos sistemas y productos se incluirán posteriormente en nuestro programa público de recompensas por errores, lo que proporciona un control externo continuo. Los hallazgos de estas evaluaciones se clasificarán y solucionarán según nuestro SLO de vulnerabilidades de seguridad pública.
Programa de recompensas por errores
Nuestro programa de recompensas por errores se aloja en Bugcrowd. El objetivo de este programa es garantizar que nuestros productos se prueben constantemente para detectar vulnerabilidades de seguridad.
Creemos que los numerosos investigadores de seguridad independientes que participan en nuestro programa de recompensas por errores contribuyen a un proceso de pruebas de seguridad externas efectivo por los siguientes motivos:
- El programa de recompensas por errores está siempre activo. En un entorno de desarrollo realmente ágil con publicaciones frecuentes, las pruebas continuas son una necesidad.
- El programa de recompensas por errores cuenta con más de 60 000 posibles investigadores. Esto ofrece una alta capacidad añadida de las competencias de los investigadores a la hora de realizar los controles técnicos.
- Los investigadores del programa de recompensas por errores desarrollan herramientas y procesos especializados en vertical (tipos de errores específicos) y en horizontal (recompensas específicas). Esta especialización ofrece la mayor oportunidad de identificar vulnerabilidades que son significativas, pero difíciles de detectar.
Más de 25 de nuestros productos o entornos, desde productos de Data Center, aplicaciones móviles y productos de Cloud, están dentro del alcance de nuestro programa de recompensas por errores. Los detalles de la cantidad de vulnerabilidades notificadas, nuestro tiempo medio de respuesta y el pago medio por recompensa se incluyen en el sitio de Bugcrowd, con más de 2800 investigadores registrados específicamente para nuestro programa.
Las vulnerabilidades que buscamos para identificarlas a través de nuestro programa de recompensas por errores incluyen los tipos comunes detectados en las listas de amenazas Open Web Application Security Project (OWASP) y Web Application Security Consortium (WASC) .
Como parte de nuestra iniciativa por ser accesibles y transparentes, invitamos a cualquier persona a que visite nuestra página del programa de recompensas por errores, se registre en el programa y nos ponga a prueba.
Aplicaciones de Marketplace
Las aplicaciones de Marketplace participan en otros programas de recompensas por errores organizados por Atlassian, como el programa de divulgación de vulnerabilidades y el programa de recompensas por errores de aplicaciones desarrolladas por Atlassian.
Pruebas iniciadas por el cliente
Permitimos las pruebas iniciadas por el cliente de conformidad con las Condiciones de uso de nuestros productos de Cloud. Nos comprometemos a ser abiertos y seguiremos publicando las estadísticas de nuestro programa de recompensas por errores de forma periódica.
Aunque creemos que nuestros programas de recompensas por errores son un enfoque más eficiente y económico para la evaluación de la seguridad de nuestros productos y servicios, comprendemos que desees comprobar la seguridad por tu cuenta. Permitimos que se lleven a cabo evaluaciones de seguridad (pruebas de penetración, valoración de vulnerabilidades) por parte de los clientes, aunque pedimos que se sigan algunas normas para garantizar la seguridad de todos.
Informes de vulnerabilidades
Si encuentras una incidencia y quieres informar a Atlassian, consulta nuestras instrucciones para notificar vulnerabilidades.
En Atlassian, uno de nuestros valores es "Empresa abierta, sin tonterías", y creemos que la divulgación de vulnerabilidades es una pieza clave para llevarlo a la práctica. Nuestro objetivo es corregir las vulnerabilidades de seguridad dentro de los objetivos de nivel de servicio (SLO) relevantes. Aceptamos las solicitudes de divulgación realizadas a través de nuestros programas de recompensas por errores después de que las incidencias se resuelvan y publiquen en producción. Sin embargo, la solicitud se rechazará si el informe contiene algún dato del cliente. Si tienes intención de divulgar datos fuera de nuestros programas de recompensas por errores, te pedimos que nos avises de manera razonable y que esperes a que se apruebe el SLO correspondiente.
Exclusiones de nuestro programa de pruebas de seguridad
Del mismo modo que mostramos accesibilidad y claridad sobre las pruebas que realizamos, también aplicamos estos mismos principios a las pruebas que no realizamos nosotros mismos o que no incluimos en la actualidad. Ciertos tipos de vulnerabilidades de bajo riesgo, como la enumeración y la recopilación de información, no suelen considerarse riesgos significativos.
Medición de los elementos adecuados
Nuestra política de solución de errores de seguridad establece los plazos del Objetivo de Nivel de Servicio (SLO) para corregir las vulnerabilidades en función de la gravedad y el producto. Al evaluar vulnerabilidades, usamos el sistema común de puntuación de vulnerabilidades, que permite comunicar la gravedad de las vulnerabilidades a nuestros clientes.
El resumen
El programa de recompensas por errores de Atlassian, las consultorías de seguridad externas y nuestro equipo de pruebas de seguridad interno forman un modelo integral, desarrollado y transparente. Así se garantiza que nuestros productos y plataformas se prueben y se protejan constantemente, lo que proporciona un control permanente a los clientes.
¿Quieres profundizar?
Hemos mencionado muchos otros documentos y recursos en este breve artículo, y te animamos a profundizar en ellos para comprender mejor nuestro enfoque de las pruebas de seguridad.
- Trust Center de Atlassian
- Prácticas de seguridad de Atlassian
- CSA STAR de Atlassian
- Política de solución de errores de Atlassian
- Página de informes de vulnerabilidades de Atlassian
- Responsabilidades de incidencias de seguridad de Atlassian
- Página de inicio de recompensas por errores de Atlassian
- Programas de recompensas por errores de Atlassian
- Programa de recompensas por errores de aplicaciones de Marketplace desarrolladas por Atlassian
- Programa de recompensas por errores de aplicaciones de Marketplace desarrolladas por otros proveedores
- Recompensas por errores de Opsgenie
- Recompensas por errores de Statuspage
- Recompensas por errores de Trello
- Programa de recompensas por errores de Halp
- Recompensas por errores de Atlassian para todos los demás productos (Jira, Confluence, Bitbucket, etc.)
Descargar los informes de recompensas por errores actuales
Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de entrada del programa de recompensas por errores. Los hallazgos del programa de recompensas por errores se clasificarán y solucionarán según nuestro SLO de vulnerabilidades de seguridad pública.
- Descargar el último informe de recompensas por errores de Atlassian (10/2024)
- Descargar el último informe de recompensas por errores de Jira Align (10/2024)
- Descargar el último informe de recompensas por errores de Opsgenie (10/2024)
- Descargar el último informe de recompensas por errores de Statuspage (10/2024)
- Descargar el último informe de recompensas por errores de Trello (10/2024)
- Descargar el último informe de recompensas por errores de Loom (10/2024)
Descarga el informe anual de recompensas por errores
Además de nuestras actualizaciones trimestrales sobre las recompensas por errores, también publicamos un informe anual sobre nuestros programas de recompensas por errores. En este informe, se ofrecen datos relevantes a nuestros clientes sobre el progreso del programa y se proporciona información detallada acerca de los tipos de vulnerabilidades que se han descubierto.
- Descargar el informe de recompensas por errores de Atlassian del año fiscal de 2023 (julio de 2022-junio de 2023)
Descargar las cartas de evaluación (LoA)
Toda vulnerabilidad de seguridad señalada en los informes siguientes se supervisa en nuestro Jira interno a medida que se incorpora al proceso de informes de pruebas de penetración. Los hallazgos de estas evaluaciones se clasificarán y solucionarán según nuestro SLO de vulnerabilidades de seguridad pública.
- Carta de evaluación de Bitbucket Pipelines (05-2022)
- Carta de evaluación de la biblioteca Log4j de Atlassian para Confluence y Jira (12-2022)
- Carta de evaluación de Statuspage Cloud (12/2022)
- Carta de evaluación de Atlas (04/2023)
- Carta de evaluación de Atlassian Assist (07/2023)
- Carta de evaluación de Atlassian Guard (aplicación web) (09/2023)
- Carta de evaluación para Jira Service Management Data Center (12/2023)
- Carta de evaluación de Confluence Cloud (12/2023)
- Carta de evaluación de Trello (01/2024)
- Carta de evaluación de Bitbucket Cloud (02/2024)
- Carta de evaluación de Jira Work Management Cloud (02/2024)
- Carta de evaluación de Confluence Data Center (02/2024)
- Carta de evaluación de Jira Cloud Platform (03/2024)
- Carta de evaluación para el análisis de la simulación de competencia externa e interna de Atlassian (04-2024)
- Carta de valoración para Bamboo Server y Data Center (05/2024)
- Carta de evaluación de Jira Product Discovery (05/2024)
- Carta de evaluación de Atlassian Analytics (aplicación web) (06/2024)
- Carta de evaluación de Atlassian Guard (06/2024)
- Carta de evaluación de Jira Software Data Center (06/2024)
- Carta de evaluación de Fisheye y Crucible Server (aplicación web) (07/2024)
- Carta de evaluación de Compass (aplicación web) (07/2024)
- Carta de valoración para Crowd Server y Data Center (07/2024)
- Carta de evaluación de SourceTree (2024-09)
- Carta de evaluación de Bitbucket Server y DC (2024-09)
- Carta de evaluación para Forge (2024-09)
- Carta de evaluación de Jira Service Management, Opsgenie Cloud y AirTrack (09/2024)
- Carta de evaluación de Jira Align (09/2024)
- Carta de evaluación de Loom (10-2024)