Close

Politique de correction des bugs de sécurité

Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.


Périmètre

The following describes how and when we resolve security bugs in our products. It does not describe the complete disclosure or advisory process that we follow.

Accord de niveau de service (SLA) de correction des bugs de sécurité

Nous avons défini les délais suivants lors de la correction de problèmes de sécurité :

  • Bugs de sécurité critiques (score CVSS v2 >= 8, score CVSS v3 >= 9) à corriger dans le produit dans un délai de 4 semaines après leur signalement
  • Bugs de gravité élevée (score CVSS v2 >= 6, score CVSS v3 >= 7) à corriger dans le produit dans un délai de 6 semaines après leur signalement
  • Bugs de gravité moyenne (score CVSS v2 >= 3, score CVSS v3 >= 4) à corriger dans le produit dans un délai de 8 semaines après leur signalement
     

Vulnérabilités critiques

Lorsqu'une faille de sécurité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian prendra les mesures suivantes :

  • Publier une nouvelle version corrigée de la version actuelle du produit affecté dès que possible.
  • Publier une nouvelle version de maintenance pour une version précédente comme suit :
     

 

Produit
Politique de rétroportage
Exemple

Jira Software Server et Data Center

Jira Core Server et Data Center

Jira Service Desk Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • toute version désignée comme une « version Enterprise » qui n'a pas encore atteint sa fin de vie ;
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de publication de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019
  • Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019
  • Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019
  • Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019
  • Jira 7.13.x, car la version 7.13 est une version Enterprise et la version 7.13.0 a été livrée le 28 novembre 2018

Confluence Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • toute version désignée comme une « version Enterprise » qui n'a pas encore atteint sa fin de vie ;
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de publication de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
  • Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
  • Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
  • Confluence 6.13.x, car la version 6.13 est une version Enterprise et la version 6.13.0 a été livrée le 4 décembre 2018

Bitbucket Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • toute version désignée comme une « version Enterprise » qui n'a pas encore atteint sa fin de vie ;
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de publication de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
  • Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
  • Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
  • Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

Bitbucket 6.3.0 a été livré le 14 mai 2019, plus de 6 mois avant la date de la correction. Si cette version avait été désignée comme une version Enterprise, une correction de bug aurait également été produite.

Tous les autres produits (BambooCrucibleFisheye, etc.)

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités précédente.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019
  • Bamboo 6.9.x, car la version 6.9.0 est la précédente
Product

Jira Software Server and Data Center

Jira Core Server and Data Center

Jira Service Desk Server and Data Center

Back port policy

Issue new bug fix releases for:

  • Any versions designated an 'Enterprise release' that have not reached end of life.
  • All feature versions released within 6 months of the date the fix is released.
Example

For example, if a critical security bug fix is developed on 1 January 2020, the following new bug fix releases would need to be produced:

  • Jira 8.6.x because 8.6.0 was released on 17 December 2019
  • Jira 8.5.x because 8.5.0 was released on 21 October 2019
  • Jira 8.4.x because 8.4.0 was released on 9 September 2019
  • Jira 8.3.x because 8.3.0 was released on 22 July 2019
  • Jira 7.13.x because 7.13 is an Enterprise release, and 7.13.0 was released on 28 November 2018
Produit

Confluence Server et Data Center

Politique de rétroportage

Publier de nouvelles versions de correction de bug pour :

  • toute version désignée comme une « version Enterprise » qui n'a pas encore atteint sa fin de vie ;
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de publication de la correction.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
  • Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
  • Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
  • Confluence 6.13.x, car la version 6.13 est une version Enterprise et la version 6.13.0 a été livrée le 4 décembre 2018
Produit

Bitbucket Server et Data Center

Politique de rétroportage

Publier de nouvelles versions de correction de bug pour :

  • toute version désignée comme une « version Enterprise » qui n'a pas encore atteint sa fin de vie ;
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de publication de la correction.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
  • Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
  • Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
  • Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

Bitbucket 6.3.0 a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version Enterprise, une version de correction de bug serait également produite.

Product

All other products (BambooCrucibleFisheye, etc)

Back port policy

We will only issue new bug fix releases for the current and previous feature release version.

Example

For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:

  • Bamboo 6.10.x because it was released on 17 September 2019 and is the current release
  • Bamboo 6.9.x because 6.9.0 is the previous release

It is important to stay on the latest bug fix release for the version of the product you are using (this is best practice). For example if you are on Jira Software 7.5.0, you should upgrade to Jira Software 7.5.3 proactively. If a new security bug fix is released, e.g. Jira Software 7.5.4, the delta between the two versions is minimal (i.e. only the security fix), making it easier to apply. 

The critical vulnerabilities resolution process does not apply to our Atlassian Cloud products as these services are always fixed by Atlassian without any additional action from customers.

Vulnérabilités non critiques

Lorsqu'un problème de sécurité de gravité élevée, moyenne ou faible est identifié, Atlassian inclut une correction dans la prochaine version planifiée. Cette correction peut également être rétroportée aux versions Enterprise, le cas échéant. 

Vous devriez mettre à niveau vos installations lorsqu'une version de correction de bug est mise à disposition pour vous assurer que les dernières corrections de sécurité ont été appliquées.

Autres informations

Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.

Nous évaluons en permanence nos politiques en fonction des commentaires des clients, et nous indiquerons toute mise à jour ou tout changement sur cette page. 

FAQ

Qu'est-ce qu'une « version Enterprise » ? Afficher +
  

Les versions Enterprise s'adressent aux clients Data Center qui préfèrent s'accorder plus de temps pour se préparer aux mises à niveau vers de nouvelles versions futures, mais doivent tout de même recevoir les corrections de bug. Certains produits seront désignés comme une version donnée d'une version Enterprise, ce qui signifie que les corrections des bugs de sécurité seront mises à disposition pour l'intégralité des deux années de support.

Qu'est-ce qu'une « version de fonctionnalités » ? Afficher +
  

Une version de fonctionnalités est une version (par exemple, 4.3) qui contient de nouvelles fonctionnalités, ou qui apporte des changements majeurs aux fonctionnalités existantes et qui n'a pas été désignée comme une version Enterprise. Pour en savoir plus sur notre terminologie relative aux versions, consultez la politique de correction des bugs Atlassian.

Pourquoi couvrez-vous seulement une période de 6 mois pour les versions de fonctionnalités de Bitbucket, Jira et Confluence ? Afficher +
  

La livraison de versions pour Bitbucket Server est très fréquente. Par conséquent, cette période de 6 mois couvre cinq à six versions majeures. Depuis la mi-2017, Jira et Confluence sont passés à une cadence de livraison similaire, et cinq à six versions sont désormais livrées chaque année. 

Pourquoi les autres produits comme Bamboo et Fisheye/Crucible sont-ils uniquement rétroportés jusqu'à la version majeure précédente ? Afficher +
  

Nos efforts se concentrent sur Jira, Confluence et Bitbucket Server, mais nous pourrions envisager de les étendre à Bamboo, Fisheye/Crucible et d'autres produits afin de couvrir des versions majeures supplémentaires en fonction de la demande.