Close
Afficher cette page dans votre langue ?
Toutes les langues
Sélectionner votre langue
Produits

En vedette

Jira Software

Suivi des projets et des tickets

Confluence

Collaboration sur le contenu

Jira Service Management

ITSM haute vélocité

Trello

Gestion visuelle des projets

Consulter tous les produits

Marketplace

Connectez des milliers d'apps et intégrations pour tous vos produits Atlassian

Close dropdown
Solutions

En vedette

Gestion du travail

Gérez les projets et alignez les objectifs de toutes les équipes pour obtenir les livrables

IT Service Management

Donnez les moyens aux équipes de développement, des opérations informatiques et métier de fournir un service exceptionnel à haute vélocité

Agile et DevOps

Mettez en place une organisation logicielle Agile de classe mondiale, de la découverte à la livraison et aux opérations

PAR TAILLE D'ÉQUIPE

Entreprise

Petite entreprise

Start-up

À but non lucratif

PAR FONCTION D'ÉQUIPE

Développement logiciel

Informatique

Finances

Marketing

RH

Par secteur

Commerce

Télécommunications

Services professionnels

Gouvernement

Close dropdown
Ressources

Apprendre

Atlassian University

Le Playbook Atlassian

Documentation produit

Ressources développeurs

Support

Communauté Atlassian

Support Atlassian

Atlassian Migration Program

Services d'entreprise

Support des partenaires

Achats et licences

Tissez des liens

Qui sommes-nous ?

Carrières

Blog Work Life

Événements

Le support des produits Server prend fin le 15 février 2024.

La fin du support pour nos produits Server approchant à grands pas, planifiez la réussite de votre migration vers le cloud grâce à l'Atlassian Migration Program.

Évaluer mes options

Close dropdown
Search
Essayer
Toggle menu
Close search

Politique de correction des bugs de sécurité

Atlassian s'efforce (en priorité) de garantir que les systèmes des clients ne puissent pas être compromis en exploitant des failles dans les produits Atlassian.

Périmètre

Les sections suivantes décrivent comment et à quel moment nous résolvons les bugs de sécurité dans nos produits. Elles n'expliquent pas l'intégralité du processus de divulgation ou de conseil que nous suivons.

Objectifs de niveau de service (SLO) de correction des bugs de sécurité

Atlassian fixe des objectifs de niveau de service pour la correction des failles de sécurité sur la base du niveau de gravité pour la sécurité et du produit affecté. Nous avons défini les délais suivants lors de la correction de problèmes de sécurité :

Délais de résolution accélérés

Ces délais s'appliquent à tous les produits Atlassian basés dans le cloud, et à tout autre logiciel ou système géré par Atlassian, ou fonctionnant sur l'infrastructure Atlassian. Ils s'appliquent également à Jira Align (versions cloud et auto-gérée).

  • Bugs de gravité critique à corriger dans le produit dans un délai de 2 semaines après la vérification
  • Bugs de gravité élevée à corriger dans le produit dans un délai de 4 semaines après la vérification
  • Bugs de gravité moyenne à corriger dans le produit dans un délai de 6 semaines après la vérification
  • Bugs de gravité faible à corriger dans le produit dans un délai de 25 semaines après la vérification

Délais de résolution étendus

Ces délais s'appliquent à tous les produits Atlassian auto-gérés. Un produit auto-géré est installé par des clients sur des systèmes gérés par eux, et comprend les apps Server, Data Center, de bureau et mobiles d'Atlassian.

  • Bugs de gravité critique, élevée et moyenne à corriger dans le produit dans un délai de 90 jours après la vérification
  • Bugs de gravité faible à corriger dans le produit dans un délai de 180 jours après la vérification

Vulnérabilités critiques

Lorsqu'une faille de sécurité critique est identifiée par Atlassian ou signalée par un tiers, Atlassian :

  • publiera une nouvelle version corrigée de la version actuelle du produit concerné dès que possible ;
  • publiera une nouvelle version de maintenance pour une version précédente comme suit :

Produit
Politique de rétroportage
Exemple

Jira Software Server et Data Center

Jira Core Server et Data Center

Jira Service Management Server et Data Center (anciennement, Jira Service Desk)

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019
  • Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019
  • Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019
  • Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019
  • Jira 7.13.x, car la version 7.13 est une version de support à long terme, et que la version 7.13.0 a été livrée le 28 novembre 2018

Confluence Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
  • Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
  • Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
  • Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 4 décembre 2018

Bitbucket Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
  • Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
  • Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
  • Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite.

Tous les autres produits (Bamboo, Crucible, Fisheye, etc.)

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019
  • Bamboo 6.9.x, car la version 6.9.0 est la précédente

Produit
Politique de rétroportage
Exemple

Jira Software Server et Data Center

Jira Core Server et Data Center

Jira Service Management Server et Data Center (anciennement, Jira Service Desk)

Confluence Server et Data Center

Bitbucket Server et Data Center

Bamboo Server et Data Center

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.

Si une correction de bug de sécurité critique était développée le 01/01/2020, ces versions bénéficieraient de la correction de bug :

  • Jira 8.6.x, car la version 8.6.0 a été livrée le 17/12/2019
  • Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 04/12/2018
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 01/10/2019
  • Bamboo 6.10.x, car la version 6.10.2 a été livrée le 17/09/2019

Voici des exemples de versions qui ne bénéficieraient pas des nouvelles versions de correction de bug :

  • Jira 7.6.x, car la version 7.6.0 est une version de support à long terme, et que la version 7.6.0 a été livrée le 16/11/2017
  • Confluence 6.14.x, car la version 6.14.0 a été livrée le 22/01/2019
  • Bitbucket 6.3.x, car la version 6.3.0 a été livrée le 14/05/2019
  • Bamboo 6.9.x, car la version 6.9.0 a été livrée le 23/05/2019

Tous les autres produits (Crucible, Fisheye, etc.)

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Crowd, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Crowd 3.7.x, car il s'agit de la version actuelle, qui a été livrée le 3 octobre 2019
  • Crowd 3.6.x, car il s'agit de la version précédente
Produit

Jira Software Server et Data Center

Jira Core Server et Data Center

Jira Service Desk Server et Data Center
Politique de rétroportage

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Jira 8.6.x, car la version 8.6.0 a été livrée le 17 décembre 2019
  • Jira 8.5.x, car la version 8.5.0 a été livrée le 21 octobre 2019
  • Jira 8.4.x, car la version 8.4.0 a été livrée le 9 septembre 2019
  • Jira 8.3.x, car la version 8.3.0 a été livrée le 22 juillet 2019
  • Jira 7.13.x, car la version 7.13 est une version de support à long terme, et que la version 7.13.0 a été livrée le 28 novembre 2018
Produit

Confluence Server et Data Center
Politique de rétroportage

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Confluence 7.2.x, car la version 7.2.0 a été livrée le 12 décembre 2019
  • Confluence 7.1.x, car la version 7.1.0 a été livrée le 4 novembre 2019
  • Confluence 7.0.x, car la version 7.0.0 a été livrée le 10 septembre 2019
  • Confluence 6.13.x, car la version 6.13 est une version de support à long terme, et que la version 6.13.0 a été livrée le 4 décembre 2018
Produit

Bitbucket Server et Data Center
Politique de rétroportage

Publier de nouvelles versions de correction de bug pour :

  • Toute version désignée comme « version de support à long terme » qui n'a pas atteint sa fin de vie.
  • toutes les versions de fonctionnalités livrées dans un délai de 6 mois avant la date de livraison de la correction.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bitbucket 6.9.x, car la version 6.9.0 a été livrée le 10 décembre 2019
  • Bitbucket 6.8.x, car la version 6.8.0 a été livrée le 6 novembre 2019
  • Bitbucket 6.7.x, car la version 6.7.0 a été livrée le 1er octobre 2019
  • Bitbucket 6.6.x, car la version 6.6.0 a été livrée le 27 août 2019
  • Bitbucket 6.5.x, car la version 6.5.0 a été livrée le 24 juillet 2019

La version 6.3.0 de Bitbucket a été livrée le 14 mai 2019, plus de 6 mois avant la date de la correction. Si la version a été désignée comme une version de support à long terme, une version de correction de bug serait également produite.
Produit

Tous les autres produits (Bamboo, Crucible, Fisheye, etc.)
Politique de rétroportage

Nous ne publierons de nouvelles versions de correction de bug que pour la version de fonctionnalités actuelle et précédente.
Exemple

Par exemple, si une correction de bug de sécurité critique était développée le 1er janvier 2020 pour Bamboo, les nouvelles versions de correction de bug suivantes devraient être produites :

  • Bamboo 6.10.x, car il s'agit de la version actuelle, qui a été livrée le 17 septembre 2019
  • Bamboo 6.9.x, car la version 6.9.0 est la précédente

Il est important d'installer la dernière version de correction de bug pour la version du produit que vous utilisez (c'est une bonne pratique). Par exemple, si vous utilisez Jira Software 7.5.0, vous devriez passer à Jira Software 7.5.3 de façon proactive. Si une nouvelle correction de bug de sécurité est livrée, par exemple Jira Software 7.5.4, le delta entre les deux versions est minime (c.-à-d. uniquement la correction de sécurité), ce qui la rend plus facile à appliquer.

Le processus de résolution des failles critiques ne s'applique pas aux produits Atlassian Cloud, car ces services sont toujours corrigés par Atlassian sans action supplémentaire de la part des clients.

Vulnérabilités non critiques

Lorsqu'un problème de sécurité de gravité élevée, moyenne ou faible est identifié, Atlassian s'efforce de publier une correction en respectant les SLO indiqués au début de ce document. Cette correction peut également être rétroportée aux versions de support à long terme, le cas échéant.

Vous devriez mettre à niveau vos installations lorsqu'une version de correction de bug est mise à disposition pour vous assurer que les dernières corrections de sécurité ont été appliquées.

Autres informations

Le degré de gravité des vulnérabilités est calculé en fonction des niveaux de gravité des problèmes de sécurité.

Nous évaluons en permanence nos politiques en fonction des commentaires des clients, et nous indiquerons toute mise à jour ou tout changement sur cette page.

FAQ

Qu'est-ce qu'une « version de support à long terme » ? Copy link to heading Copied! Afficher +
  

Les versions de support à long terme s'adressent aux clients Server et Data Center qui préfèrent s'accorder plus de temps pour se préparer aux mises à niveau vers de nouvelles versions de fonctionnalités, mais doivent tout de même recevoir les corrections de bug. Certains produits seront désignés comme une version de support à long terme, ce qui signifie que les corrections des bugs de sécurité seront mises à disposition pour l'intégralité des deux années de support.
Qu'est-ce qu'une « version de fonctionnalités » ? Copy link to heading Copied! Afficher +
  

Une version de fonctionnalités est une version (par exemple, 4.3) qui contient de nouvelles fonctionnalités, ou qui apporte des changements majeurs aux fonctionnalités existantes et qui n'a pas été désignée comme une version de support à long terme. Pour en savoir plus sur notre terminologie relative aux versions, consultez la politique de correction des bugs Atlassian.
Pourquoi couvrez-vous seulement une période de 6 mois pour les versions de fonctionnalités de Bitbucket, Jira et Confluence ? Copy link to heading Copied! Afficher +
  

La livraison de versions pour Bitbucket Server est très fréquente. Par conséquent, cette période de 6 mois couvre cinq à six versions majeures. Depuis la mi-2017, Jira et Confluence sont passés à une cadence de livraison similaire, et cinq à six versions sont désormais livrées chaque année.
Pourquoi les autres produits comme Bamboo et Fisheye/Crucible sont-ils uniquement rétroportés jusqu'à la version majeure précédente ? Copy link to heading Copied! Afficher +
  

Nos efforts se concentrent sur Jira, Confluence et Bitbucket Server, mais nous pourrions envisager de les étendre à Bamboo, Fisheye/Crucible et d'autres produits afin de couvrir des versions majeures supplémentaires en fonction de la demande.