Close

Politique de correction des bugs de sécurité

Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.


Périmètre

Cette politique décrit de quelle manière et dans quels délais nous pouvons résoudre les failles de sécurité de nos produits.

Objectifs de niveau de service (SLO) de correction des bugs de sécurité

Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini les objectifs temporels suivants pour la correction des problèmes de sécurité dans nos produits :

Objectifs de résolution accélérés

Ces délais s'appliquent à tous les produits Atlassian basés dans le cloud, et à tout autre logiciel ou système géré par Atlassian, ou fonctionnant sur l'infrastructure Atlassian. Ils s'appliquent également à Jira Align (versions Cloud et auto-gérée).

  • Vulnérabilités critiques à corriger dans le produit dans un délai de 10 jours après la vérification
  • Vulnérabilités élevées à corriger dans le produit dans un délai de 28 jours après la vérification
  • Vulnérabilités moyennes à corriger dans le produit dans un délai de 84 jours après la vérification
  • Vulnérabilités faibles à corriger dans le produit dans un délai de 175 jours après la vérification

Délais de résolution étendus

Ces objectifs temporels s'appliquent à tous les produits Atlassian auto-gérés. Un produit auto-géré est installé par des clients sur des systèmes gérés par eux, et comprend les apps Data Center et mobiles d'Atlassian.

  • Vulnérabilités critiques, élevées et moyennes à corriger dans le produit dans un délai de 90 jours après la vérification
  • Vulnérabilités faibles à corriger dans le produit dans un délai de 180 jours après la vérification

Vulnérabilités critiques

Lorsqu'une vulnérabilité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian prendra les mesures suivantes :

  • Pour les produits cloud, nous livrerons une nouvelle version corrigée pour le produit concerné dès que possible.
  • Pour les produits auto-gérés, nous :
    • livrerons une version de correction de bug pour les dernières fonctionnalités du produit concerné ;
    • livrerons une nouvelle version de fonctionnalités pour le produit concerné selon le calendrier de sortie ;
    • livrerons une version de correction de bug pour toutes les versions de support à long terme (LTS) prises en charge du produit concerné, conformément à la Politique Atlassian de fin de vie du support.

Produit
Politique de rétroportage
Exemple

Jira Software Server et Data Center

Jira Core Server et Data Center

Jira Service Management Server et Data Center (anciennement, Jira Service Desk)

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • Toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019
  • Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019
  • Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019
  • Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019
  • Jira 7.13.x, car la version 7.13 est une version de support à long terme, et que la version 7.13.0 a été livrée le 28 novembre 2018

Confluence Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • Toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
  • Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
  • Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
  • Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 4 décembre 2018

Bitbucket Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • Toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
  • Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
  • Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
  • Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite.

Tous les autres produits (Bamboo, Crucible, Fisheye, etc.)

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019
  • Bamboo 6.9.x, car la version 6.9.0 est la précédente

Pour Crowd, Fisheye et Crucible, nous fournirons une version de correction de bug pour les dernières fonctionnalités du produit concerné.

Exemples de corrections de vulnérabilités critiques pour les produits auto-gérés :

Si une correction de vulnérabilité critique était développée le 1er février 2024, ces versions bénéficieraient de la correction de bug :

Produit

Exemple

Jira Software

Exemple

Jira Software 9.13.x, car la version 9.13.0 est la dernière version de fonctionnalités

Exemple

Jira Software 9.12.x, car la version 9.12.0 est la dernière version de support à long terme

Exemple

Jira Software 9.4.x, car la version 9.4.0 est la précédente version de support à long terme

Jira Service Management

Exemple

Jira Service Management 5.13.x, car la version 5.13.0 est la dernière version de fonctionnalités

Exemple

Jira Service Management 5.12.x, car la version 5.12.0 est la dernière version de support à long terme

Exemple

Jira Service Management 5.4.x, car la version 5.4.0 est la deuxième version de support à long terme la plus récente prise en charge

Confluence

Exemple

Confluence 8.7.x, car la version 8.7.0 est la dernière version de fonctionnalités

Exemple

Confluence 8.5.x, car la version 8.5.0 est la dernière version de support à long terme

Exemple

Confluence 7.19.x, car la version 7.19.0 est la deuxième version de support à long terme la plus récente prise en charge

Bitbucket

Exemple

Bitbucket 8.17.x, car la version 8.17.0 est la dernière version de fonctionnalités

Exemple

Bitbucket 8.9.x, car la version 8.9.0 est la dernière version de support à long terme

Exemple

Bitbucket 7.21.x, car la version 7.21.0 est la deuxième version de support à long terme la plus récente prise en charge

Bamboo

Exemple

Bamboo 9.5.x, car la version 9.5.0 est la dernière version de fonctionnalités

Exemple

Bamboo 9.2.x, car la version 9.2.0 est la dernière version de support à long terme

Crowd

Exemple

Crowd 5.3.x, car la version 5.3.0 est la dernière version de fonctionnalités

Fisheye/Crucible

Exemple

Fisheye/Crucible 4.8.x, car la version 4.8.0 est la dernière version de fonctionnalités

Aucune autre version du produit ne bénéficierait des nouvelles corrections de bug.

Les mises à niveau fréquentes garantissent la sécurité des instances de vos produits. Nous vous recommandons de vous tenir au courant des dernières versions de correction de bug, de fonctionnalités ou de support à long terme de votre produit.

Vulnérabilités non critiques

Lorsqu'un problème de sécurité de gravité élevée, moyenne ou faible est identifié, Atlassian s'efforce de publier une correction en respectant les objectifs de niveau de service indiqués au début de ce document. Cette correction peut également être rétroportée aux versions de support à long terme, le cas échéant. La faisabilité du rétroportage varie en fonction de dépendances complexes, de changements architecturaux et de la compatibilité, parmi d'autres facteurs.

Vous devriez mettre à niveau vos installations lorsqu'une version de correction de bug est mise à disposition pour vous assurer que les dernières corrections de sécurité ont été appliquées.

Autres informations

Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.

Nous évaluons en permanence nos politiques en fonction des commentaires des clients, et nous indiquerons toute mise à jour ou tout changement sur cette page.

FAQ

Qu'est-ce qu'une correction de bug de sécurité ? Copy link to heading Copied! Afficher +
  

Une correction de bug de sécurité est un ensemble de changements apportés à un système ou à une application pour corriger des vulnérabilités susceptibles d'être exploitées par des hackers. Ces vulnérabilités, également connues sous le nom de bugs de sécurité, peuvent entraîner un accès non autorisé, un vol de données ou d'autres activités malveillantes.

Qu'est-ce qu'une vulnérabilité ? Copy link to heading Copied! Afficher +
  

Le terme « vulnérabilité » désigne une faiblesse ou une faille qui peut être exploitée par une menace ou un risque. Dans le contexte de la cybersécurité, une vulnérabilité peut être une faille dans un logiciel, un réseau ou un système qui permet à des utilisateurs non autorisés d'y accéder et de causer des dommages. Cela peut notamment inclure des logiciels obsolètes, des mots de passe faibles ou un chiffrement manquant des données.

Où puis-je trouver plus d'informations sur les vulnérabilités corrigées des produits Data Center ? Copy link to heading Copied! Afficher +
  

Atlassian publie des avis de sécurité mensuels et donne accès au portail de divulgation de vulnérabilités. Le portail de divulgation de vulnérabilités est une plateforme centrale sur laquelle vous pouvez vous informer sur les vulnérabilités identifiées dans tous nos produits. Il est mis à jour tous les mois avec la publication de chaque bulletin de sécurité, et permet de rechercher les données des bulletins précédents et d'y accéder facilement.

Qu'est-ce qu'une version de support à long terme ? Copy link to heading Copied! Afficher +
  

Les versions de support à long terme s'adressent aux clients Data Center qui préfèrent s'accorder plus de temps pour se préparer aux mises à niveau vers de nouvelles versions de fonctionnalités, mais doivent tout de même recevoir les corrections de bug. Certains produits seront désignés comme une version de support à long terme, ce qui signifie que les corrections des bugs de sécurité seront mises à disposition pour l'intégralité des deux années de support.

Qu'est-ce qu'une version de fonctionnalités ? Copy link to heading Copied! Afficher +
  

Une version de fonctionnalités est une version (par exemple, Jira Software 9.11) qui contient de nouvelles fonctionnalités, ou qui apporte des changements majeurs aux fonctionnalités existantes et qui n'a pas été désignée comme une version de support à long terme. Découvrez-en plus sur la politique de correction des bugs d'Atlassian.