Politique de correction des bugs de sécurité
Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.
Périmètre
Les sections suivantes décrivent comment et à quel moment nous résolvons les bugs de sécurité dans nos produits. Elles n'expliquent pas l'intégralité du processus de divulgation ou de conseil que nous suivons.
Objectifs de niveau de service (SLO) de correction des bugs de sécurité
Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini les délais suivants lors de la correction de problèmes de sécurité :
Délais de résolution accélérés
Ces délais s'appliquent à tous les produits Atlassian basés dans le cloud, et à tout autre logiciel ou système géré par Atlassian, ou fonctionnant sur l'infrastructure Atlassian. Ils s'appliquent également à Jira Align (versions cloud et auto-gérée).
- Bugs de gravité critique à corriger dans le produit dans un délai de 2 semaines après la vérification
- Bugs de gravité élevée à corriger dans le produit dans un délai de 4 semaines après la vérification
- Bugs de gravité moyenne à corriger dans le produit dans un délai de 6 semaines après la vérification
- Bugs de gravité faible à corriger dans le produit dans un délai de 25 semaines après la vérification
Délais de résolution étendus
Ces délais s'appliquent à tous les produits Atlassian auto-gérés. Un produit auto-géré est installé par des clients sur des systèmes gérés par eux, et comprend les apps Server, Data Center, de bureau et mobiles d'Atlassian.
- Bugs de gravité critique, élevée et moyenne à corriger dans le produit dans un délai de 90 jours après la vérification
- Bugs de gravité faible à corriger dans le produit dans un délai de 180 jours après la vérification
Vulnérabilités critiques
Lorsqu'une faille de sécurité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian :
- publiera une nouvelle version corrigée de la version actuelle du produit concerné dès que possible ;
- publiera une nouvelle version de maintenance pour une version précédente comme suit :
Produit | Politique de rétroportage | Exemple |
---|---|---|
Jira Software Server et Data Center Jira Core Server et Data Center Jira Service Management Server et Data Center (anciennement, Jira Service Desk) | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
Confluence Server et Data Center | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
Bitbucket Server et Data Center | Publier de nouvelles versions de correction de bug pour :
| Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite. |
Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente. | Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :
|
Produit | Politique de rétroportage | Exemple |
---|---|---|
Jira Software Server et Data Center Jira Core Server et Data Center Jira Service Management Server et Data Center (anciennement, Jira Service Desk) Confluence Server et Data Center Bitbucket Server et Data Center Bamboo Server et Data Center | Publier de nouvelles versions de correction de bug pour :
| Si une correction de bug de sécurité critique était développée le 01/01/2020, ces versions bénéficieraient de la correction de bug :
Voici des exemples de versions qui ne bénéficieraient pas des nouvelles versions de correction de bug :
|
Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente. | Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Crowd, les nouvelles versions de correction de bug suivantes devraient être produites :
|
ProduitJira Software Server et Data Center Jira Core Server et Data Center Jira Service Desk Server et Data Center |
Politique de rétroportagePublier de nouvelles versions de correction de bug pour :
|
ExemplePar exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
ProduitConfluence Server et Data Center |
Politique de rétroportagePublier de nouvelles versions de correction de bug pour :
|
ExemplePar exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
|
ProduitBitbucket Server et Data Center |
Politique de rétroportagePublier de nouvelles versions de correction de bug pour :
|
ExemplePar exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :
La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite. |
Produit |
Politique de rétroportageNous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente. |
ExemplePar exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :
|
Il est important d'installer la dernière version de correction de bug pour la version du produit que vous utilisez (c'est une bonne pratique). Par exemple, si vous utilisez Jira Software 7.5.0, vous devriez passer à Jira Software 7.5.3 de façon proactive. Si une nouvelle correction de bug de sécurité est livrée, par exemple Jira Software 7.5.4, le delta entre les deux versions est minime (c.-à-d. uniquement la correction de sécurité), ce qui la rend plus facile à appliquer.
Le processus de résolution des failles critiques ne s'applique pas aux produits Atlassian Cloud, car ces services sont toujours corrigés par Atlassian sans action supplémentaire de la part des clients.
Vulnérabilités non critiques
Lorsqu'un problème de sécurité de gravité élevée, moyenne ou faible est identifié, Atlassian s'efforce de publier une correction en respectant les SLO indiqués au début de ce document. Cette correction peut également être rétroportée aux versions de support à long terme, le cas échéant.
Vous devriez mettre à niveau vos installations lorsqu'une version de correction de bug est mise à disposition pour vous assurer que les dernières corrections de sécurité ont été appliquées.
Autres informations
Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.
Nous évaluons en permanence nos politiques en fonction des commentaires des clients, et nous indiquerons toute mise à jour ou tout changement sur cette page.