Close

Signaler des vulnérabilités


Si vous pensez avoir identifié un problème de sécurité qui répond à la définition Atlassian d'une vulnérabilité, veuillez soumettre votre rapport à notre équipe de sécurité à l'aide de l'une des méthodes suivantes :

Si vous êtes un client :

Si vous êtes un chercheur en sécurité :

Seules les vulnérabilités soumises par l'intermédiaire de notre programme Bug Bounty sont éligibles au versement d'une prime.

Veuillez inclure les informations suivantes dans votre rapport :

  • Le type de problème (Cross-site Scripting, SQL Injection, exécution de code arbitraire (RCE), etc.)
  • Le produit et la version incluant le bug, ou une URL s'il s'agit d'un service cloud
  • L'impact potentiel de la vulnérabilité (p. ex. les données accessibles ou modifiables ?)
  • Des instructions pas-à-pas pour reproduire le problème
  • Toute preuve de concept ou tout code d'exploit nécessaire pour reproduire le problème

Si vous souhaitez chiffrer votre envoi avec notre clé PGP, veuillez la télécharger sur cette page.

 

Définition d'une vulnérabilité

Atlassian considère une faille de sécurité comme une faiblesse dans l'un de ses produits ou dans son infrastructure susceptible de permettre à un attaquant de nuire à la confidentialité, à l'intégrité ou la disponibilité du produit ou de l'infrastructure.

Nous ne considérons pas les découvertes suivantes comme des failles de sécurité :

  • Présence ou absence d'en-têtes HTTP (X-Frame-Options, CSP, nosniff, etc.). Il s'agit de bonnes pratiques de sécurité. Par conséquent, nous ne les classifions pas comme des vulnérabilités.
  • Attributs de sécurité manquants dans les cookies non sensibles. Les produits Atlassian peuvent définir certains attributs de sécurité dans les cookies utilisés dans nos applications. L'absence de ces en-têtes dans les cookies non sensibles n'est pas considérée comme une faille de sécurité.
  • Traces de pile exposées. Nous ne considérons pas les traces de pile en elles-mêmes comme un problème de sécurité. Si vous trouvez une trace de pile détaillant des informations personnelles identifiables ou du contenu généré par l'utilisateur, veuillez soumettre un rapport expliquant le problème.
  • Spoofing de contenu par les utilisateurs administrateurs. Nous autorisons les administrateurs à injecter du contenu HTML dans des zones spécifiques de certains produits comme une fonctionnalité de personnalisation et ne considérons pas cela comme une vulnérabilité.
  • Clickjacking sur les pages Jira Server ou sur les pages qui ne contiennent que du contenu statique. Pour en savoir plus, reportez-vous à l'article https://jira.atlassian.com/browse/JRASERVER-25143.
  • Activation ou désactivation de la saisie semi-automatique

Nous ne sommes pas en mesure de répondre aux rapports en masse générés par des scanners automatisés. Si vous identifiez des problèmes à l'aide d'un scanner automatisé, nous vous recommandons de demander à un expert en sécurité de passer en revue les problèmes pour vous assurer que les résultats sont valides avant de soumettre un rapport de vulnérabilité à Atlassian.

 

Programme Bug Bounty

Atlassian exploite un programme Bug Bounty public pour ses produits par le biais de son partenaire, Bugcrowd. Les chercheurs en sécurité peuvent être payés en échange de la soumission à Atlassian de rapports de vulnérabilité éligibles par l'intermédiaire des programmes de primes.

 

Divulgation publique

Atlassian se fixe pour priorité de résoudre toute faille de sécurité dans ses produits dans les délais identifiés dans sa politique de correction des bugs de sécurité. Atlassian suit un processus coordonné de divulgation des vulnérabilités et exige, pour la protection de ses clients, que toute personne signalant une vulnérabilité en fasse de même.