Politique de correction des bugs de sécurité

Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.

Périmètre

Cette politique décrit de quelle manière et dans quels délais nous pouvons résoudre les failles de sécurité de nos produits.

Objectifs de niveau de service (SLO) de correction des bugs de sécurité

Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini les objectifs temporels suivants pour la correction des problèmes de sécurité dans nos produits :

Objectifs de résolution accélérés

Ces délais s'appliquent à :

Tous les produits Atlassian basés dans le cloud
Tout logiciel ou système géré par Atlassian
Tout logiciel ou système fonctionnant sur l'infrastructure Atlassian
Jira Align, versions cloud et auto-gérées

En fonction du niveau de vulnérabilité, nous avons défini les délais suivants pour appliquer la correction dans un produit après vérification :

Critique, doit être corrigé dans les 10 jours
Élevé, doit être corrigé dans les 28 jours
Moyen, devrait être corrigé dans les 84 jours
Faible, devrait être corrigé dans les 175 jours

Délais de résolution étendus

Ces objectifs planifiés s'appliquent à tous les produits et à toutes les applications mobiles Atlassian Data Center. Les produits Data Center sont installés par les clients sur des systèmes qu'ils gèrent eux-mêmes.

Les vulnérabilités de gravité critique, élevée et moyenne à corriger dans le produit dans un délai de 90 jours après la vérification
Les vulnérabilités de gravité faible à corriger dans le produit dans un délai de 180 jours après la vérification

Modèle de responsabilité partagée

Bien qu'Atlassian s'engage à fournir des produits sécurisés et prêts à l'emploi, nous nous appuyons également sur un modèle de responsabilité partagée. Ce modèle oblige les clients à mettre en œuvre des pratiques qui se prolongent au-delà du déploiement et se prolongent jusqu'aux phases opérationnelles. Certaines de ces responsabilités comprennent :

l'exploitation des logiciels Atlassian sur des réseaux privés
l'assurance de la mise en œuvre rapide des corrections de sécurité dès les premières versions
la configuration des pare-feu d'app web (WAF), des VPN, de l'authentification multifactorielle et de l'authentification unique
la mise en œuvre du cryptage et des contrôles d'accès
la réalisation de sauvegardes régulières
la conduite d'audits de sécurité réguliers

Vulnérabilités critiques

Lorsqu'une vulnérabilité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian prendra les mesures suivantes :

Pour les produits cloud, nous livrerons une nouvelle version corrigée pour le produit concerné dès que possible.
Pour les produits auto-gérés, nous :
- livrerons une version de correction de bugs pour les dernières fonctionnalités du produit concerné
- livrerons une nouvelle version de fonctionnalités pour le produit concerné selon le calendrier de sortie
- livrerons une version de correction de bug pour toutes les versions de support à long terme (LTS) prises en charge du produit concerné, conformément à la Politique Atlassian de fin de vie du support.

Produit	Politique de rétroportage	Exemple
Jira Software Server et Data Center Jira Server et Data Center Jira Service Management Server et Data Center (anciennement, Jira Service Desk)	Publier de nouvelles versions de correction de bug pour : Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie. toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.	Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites : Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019 Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019 Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019 Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019 Jira 7.13.x, car la version 7.13 est une version de support à long terme, et que la version 7.13.0 a été livrée le 28 novembre 2018
Confluence Server et Data Center	Publier de nouvelles versions de correction de bug pour : Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie. toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.	Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites : Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019 Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019 Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019 Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 4 décembre 2018
Bitbucket Server et Data Center	Publier de nouvelles versions de correction de bug pour : Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie. toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.	Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites : Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019 Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019 Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019 Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019 Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019 La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite.
Tous les autres produits (Bamboo, Crucible, Fisheye, etc.)	Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.	Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites : Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019 Bamboo 6.9.x, car la version 6.9.0 est la précédente

Produit

Politique de rétroportage

Exemple

Jira Software Server et Data Center

Jira Server et Data Center

Jira Service Management Server et Data Center (anciennement, Jira Service Desk)

Publier de nouvelles versions de correction de bug pour :

Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019
Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019
Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019
Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019
Jira 7.13.x, car la version 7.13 est une version de support à long terme, et que la version 7.13.0 a été livrée le 28 novembre 2018

Confluence Server et Data Center

Publier de nouvelles versions de correction de bug pour :

Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 4 décembre 2018

Bitbucket Server et Data Center

Publier de nouvelles versions de correction de bug pour :

Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite.

Tous les autres produits (Bamboo, Crucible, Fisheye, etc.)

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :

Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019
Bamboo 6.9.x, car la version 6.9.0 est la précédente

Pour Crowd, Fisheye et Crucible, nous fournirons une version de correction de bug pour les dernières fonctionnalités du produit concerné.

Exemples de corrections de vulnérabilités critiques pour les produits auto-gérés :

Si une correction de vulnérabilité critique était développée le 1er février 2024, ces versions bénéficieraient de la correction de bug :

Produit	Exemple
Jira Software	Exemple Jira Software 9.13.x, car la version 9.13.0 est la dernière version de fonctionnalités
	Exemple Jira Software 9.12.x, car la version 9.12.0 est la dernière version de support à long terme
	Exemple Jira Software 9.4.x, car la version 9.4.0 est la précédente version de support à long terme
Jira Service Management	Exemple Jira Service Management 5.13.x, car la version 5.13.0 est la dernière version de fonctionnalités
	Exemple Jira Service Management 5.12.x, car la version 5.12.0 est la dernière version de support à long terme
	Exemple Jira Service Management 5.4.x, car la version 5.4.0 est la deuxième version de support à long terme la plus récente prise en charge
Confluence	Exemple Confluence 8.7.x, car la version 8.7.0 est la dernière version de fonctionnalités
	Exemple Confluence 8.5.x, car la version 8.5.0 est la dernière version de support à long terme
	Exemple Confluence 7.19.x, car la version 7.19.0 est la deuxième version de support à long terme la plus récente prise en charge
Bitbucket	Exemple Bitbucket 8.17.x, car la version 8.17.0 est la dernière version de fonctionnalités
	Exemple Bitbucket 8.9.x, car la version 8.9.0 est la dernière version de support à long terme
	Exemple Bitbucket 7.21.x, car la version 7.21.0 est la deuxième version de support à long terme la plus récente prise en charge
Bamboo	Exemple Bamboo 9.5.x, car la version 9.5.0 est la dernière version de fonctionnalités
Bamboo	Exemple Bamboo 9.2.x, car la version 9.2.0 est la dernière version de support à long terme
Crowd	Exemple Crowd 5.3.x, car la version 5.3.0 est la dernière version de fonctionnalités
Fisheye/Crucible	Exemple Fisheye/Crucible 4.8.x, car la version 4.8.0 est la dernière version de fonctionnalités

Aucune autre version du produit ne bénéficierait des nouvelles corrections de bug.

Les mises à niveau fréquentes garantissent la sécurité des instances de vos produits. Nous vous recommandons de vous tenir au courant des dernières versions de correction de bug, de fonctionnalités ou de support à long terme de votre produit.

Vulnérabilités non critiques

Lorsqu'un problème de sécurité de gravité élevée, moyenne ou faible est identifié, Atlassian s'efforce de publier une correction en respectant les objectifs de niveau de service indiqués au début de ce document. Si possible, la correction peut également être rétroportée aux versions de support à long terme. La faisabilité du rétroportage est influencée par divers facteurs, notamment les dépendances logicielles, les modifications architecturales et les problèmes de compatibilité.

Pour vous assurer que vos installations contiennent les dernières corrections de sécurité, mettez-les à niveau dès qu'une version de correction de bugs est disponible.

Autres informations

Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.

Nous évaluons en permanence nos politiques en fonction du feedback des clients, et nous indiquons toute mise à jour ou tout changement sur cette page.

FAQ

Qu'est-ce qu'un modèle de responsabilité partagée ? Copy link to heading Copied! Afficher +

Un accord entre un fournisseur comme Atlassian et ses clients pour mettre en œuvre les bonnes pratiques qui persistent au-delà du déploiement initial et s'étendent aux phases opérationnelles. Pour plus de détails, consultez la checklist de sécurité du Data Center et les responsabilités partagées.

Qu'est-ce qu'une version de support à long terme ? (exemple : support à long terme Jira Software 10.3) Copy link to heading Copied! Afficher +

Les versions de support à long terme s'adressent aux clients Data Center qui préfèrent s'accorder plus de temps pour les mises à niveau vers de nouvelles versions de fonctionnalités, mais doivent tout de même recevoir les corrections de bugs. Certains produits désigneront une version spécifique comme version de support à long terme, indiquant que des corrections de bugs de sécurité seront fournies pendant toute la période de support de deux ans.

Qu'est-ce qu'une version de fonctionnalités ? (exemple : Jira Software 10.1) Copy link to heading Copied! Afficher +

Une version de fonctionnalités est une version qui n'a pas été désignée comme version de support à long terme. Au lieu de cela, elle contient de nouvelles fonctionnalités, des changements des plateformes prises en charge (telles que les bases de données, les systèmes d'exploitation, les versions Git) ou la suppression de fonctionnalités.

Découvrez-en plus sur la politique de correction des bugs d'Atlassian.

Qu'est-ce qu'une version de correction ? (exemple : Jira Software 10.2.1) Copy link to heading Copied! Afficher +

Les versions de correction de bugs peuvent inclure des améliorations de la stabilité et des performances, ainsi que la correction de bugs de fonctionnalité et de failles de sécurité. Selon la nature des corrections, elles peuvent introduire des changements mineurs aux fonctionnalités existantes. Cependant, elles n'incluent pas de nouvelles fonctionnalités ni de changements à haut risque, de sorte qu'elles peuvent être adoptées rapidement. Nous vous recommandons de mettre rapidement à niveau votre version actuelle vers la dernière version de correction de bugs.

Où puis-je trouver les dernières versions ? Copy link to heading Copied! Afficher +

Vous pouvez toujours consulter le portail de téléchargement de logiciels ou visiter les pages de téléchargement spécifiques aux produits.

Qu'est-ce qu'une version prise en charge ? Copy link to heading Copied! Afficher +

Atlassian prend en charge les versions pendant 2 ans après la version initiale ou la version de support à long terme (LTS). Par exemple, nous fournissons un support technique pour Jira Software 9.14.x pendant 2 ans après la version de Jira 9.14.0.

Où puis-je trouver une liste des versions prises en charge ? Copy link to heading Copied! Afficher +

Consultez la politique de fin du support d'Atlassian Data Center pour obtenir les informations les plus récentes.

Qu'est-ce qu'une vulnérabilité ? Copy link to heading Copied! Afficher +

Le terme « vulnérabilité » désigne une faiblesse ou une faille qui peut être exploitée par une menace ou un risque. Dans le contexte de la cybersécurité, une vulnérabilité peut être une faille dans un logiciel, un réseau ou un système qui permet à des utilisateurs non autorisés d'y accéder ou de causer des dommages. Cela peut inclure des logiciels obsolètes, des mots de passe faibles ou un chiffrement manquant des données.

Qu'est-ce qu'une correction de bug de sécurité ? Copy link to heading Copied! Afficher +

Une correction de bug de sécurité est un ensemble de changements apportés à un système ou à une application pour corriger des vulnérabilités que les hackers pourraient exploiter. Ces vulnérabilités, également connues sous le nom de bugs de sécurité, peuvent entraîner un accès non autorisé, un vol de données ou d'autres activités malveillantes.

Où puis-je trouver plus d'informations sur les vulnérabilités corrigées des produits Data Center ? Copy link to heading Copied! Afficher +

Atlassian publie des avis de sécurité mensuels et donne accès au portail de divulgation de vulnérabilités. Le portail de divulgation de vulnérabilités est une plateforme centrale sur laquelle vous pouvez vous informer sur les vulnérabilités identifiées dans tous nos produits. Il est mis à jour tous les mois avec la publication de chaque bulletin de sécurité, et permet de rechercher les données des bulletins précédents et d'y accéder facilement.

En vedette

Collections Atlassian NOUVEAU

Jira

Confluence

Loom

Agents

Jira Align

Concentrez-vous

Talent

Agents

Plateforme Atlassian Cloud

Jira

Confluence

Jira Service Management

Rovo NOUVEAU

Développeurs

Jira

Bitbucket

Compass NOUVEAU

Product Owners

Jira Product Discovery NOUVEAU

Jira

Confluence

Professionnels de l'informatique

Jira Service Management

Guard NOUVEAU

Équipes métier

Jira

Confluence

Trello

Loom NOUVEAU

Jira Service Management

Équipes de direction

Concentrez-vous NOUVEAU

Jira

Talent NOUVEAU

Confluence

Jira Align

Loom NOUVEAU

Jira

Confluence

Loom NOUVEAU

Jira Align

Concentrez-vous NOUVEAU

Solutions

Solutions

Jira

Confluence

Loom

Agents

Jira Align

Concentrez-vous

Talent

Agents

Plateforme Atlassian Cloud

Pourquoi Atlassian ?

System of Work Nouveau

Intégrations

Clients

FedRAMP

Résilience

Plateforme

Trust Center

Ressources

Support client

Trouver un Partenaire

Migration Program

Communauté

Support

Ressources

Jira

Jira Service Management

Confluence

Politique de correction des bugs de sécurité

Périmètre

Objectifs de niveau de service (SLO) de correction des bugs de sécurité

Produit

Politique de rétroportage

Exemple

Exemples de corrections de vulnérabilités critiques pour les produits auto-gérés :