Close
Afficher cette page dans votre langue ?
Toutes les langues
Sélectionner votre langue
Produits

En vedette

Jira Software

Suivi des projets et des tickets

Confluence

Collaboration sur le contenu

Jira Service Management

ITSM haute vélocité

Trello

Gestion visuelle des projets

Consulter tous les produits

Marketplace

Connectez des milliers d'apps et intégrations pour tous vos produits Atlassian

Close dropdown
Solutions

En vedette

Gestion du travail

Gérez les projets et alignez les objectifs de toutes les équipes pour obtenir les livrables

IT Service Management

Donnez les moyens aux équipes de développement, des opérations informatiques et métier de fournir un service exceptionnel à haute vélocité

Agile et DevOps

Mettez en place une organisation logicielle Agile de classe mondiale, de la découverte à la livraison et aux opérations

PAR TAILLE D'ÉQUIPE

Entreprise

Petite entreprise

Start-up

À but non lucratif

PAR FONCTION D'ÉQUIPE

Développement logiciel

Informatique

Finances

Marketing

RH

Par secteur

Commerce

Télécommunications

Services professionnels

Gouvernement

Close dropdown
Ressources

Apprendre

Atlassian University

Le Playbook Atlassian

Documentation produit

Ressources développeurs

Support

Communauté Atlassian

Support Atlassian

Atlassian Migration Program

Services d'entreprise

Support des partenaires

Achats et licences

Tissez des liens

Qui sommes-nous ?

Carrières

Blog Work Life

Événements

Le support des produits Server prend fin le 15 février 2024.

La fin du support pour nos produits Server approchant à grands pas, planifiez la réussite de votre migration vers le cloud grâce à l'Atlassian Migration Program.

Évaluer mes options

Close dropdown
Search
Essayer
Toggle menu
Close search

Signaler des vulnérabilités

Si vous pensez avoir identifié un problème de sécurité qui correspond à la définition d'une vulnérabilité selon Atlassian, veuillez soumettre le rapport à notre équipe de sécurité de l'une des façons suivantes.

Nous ne sommes pas en mesure de répondre aux rapports groupés générés par des dispositifs d'analyse automatisés. Si vous identifiez des problèmes à l'aide d'un dispositif d'analyse automatisé, nous vous recommandons de demander à un expert en sécurité d'examiner ces problèmes et de s'assurer que les conclusions sont valables avant de soumettre un rapport de vulnérabilité à Atlassian.

Si vous êtes client :

Si vous êtes chercheur en sécurité :

Seules les vulnérabilités soumises par le biais de notre programme Bug Bounty sont éligibles à une prime.

Veuillez inclure les informations suivantes dans votre rapport :

  • Le type de problème (Cross-site Scripting, SQL Injection, exécution de code arbitraire [RCE], etc.)
  • Le produit et la version contenant le bug ou une URL s'il s'agit d'un service cloud
  • L'impact potentiel de la vulnérabilité (c.-à-d., les données accessibles ou modifiées)
  • Des instructions détaillées pour reproduire le problème
  • La démonstration de faisabilité ou le code d'exploitation nécessaire à la reproduction du problème

Si vous souhaitez chiffrer votre soumission avec notre clé PGP, vous pouvez la télécharger ici.

Définition d'une vulnérabilité

Atlassian considère une vulnérabilité ou faille de sécurité comme une faiblesse dans l'un de ses produits ou dans son infrastructure susceptible de permettre à un attaquant de nuire à la confidentialité, à l'intégrité ou la disponibilité du produit ou de l'infrastructure.

Nous ne considérons pas les types de découvertes suivants comme des failles de sécurité :

  • Présence ou absence d'en-têtes HTTP (X-Frame-Options, CSP, nosniff, etc.). Il s'agit de bonnes pratiques de sécurité. Par conséquent, nous ne les classifions pas comme des vulnérabilités.
  • Attributs de sécurité manquants dans les cookies non sensibles. Les produits Atlassian peuvent définir certains attributs de sécurité dans les cookies utilisés dans nos apps. L'absence de ces en-têtes dans les cookies non sensibles n'est pas considérée comme une faille de sécurité.
  • Traces de pile exposées. Nous ne considérons pas les traces de pile en elles-mêmes comme un problème de sécurité. Si vous trouvez une trace de pile détaillant des informations personnelles identifiables ou du contenu généré par l'utilisateur, veuillez soumettre un rapport expliquant le problème.
  • Spoofing de contenu par les utilisateurs administrateurs. Nous autorisons les administrateurs à injecter du contenu HTML dans des zones spécifiques de certains produits comme une fonctionnalité de personnalisation et ne considérons pas cela comme une vulnérabilité.
  • Clickjacking sur les pages Jira Server ou sur les pages qui ne contiennent que du contenu statique. Pour en savoir plus, reportez-vous à l'article https://jira.atlassian.com/browse/JRASERVER-25143.
  • Activation ou désactivation de la saisie automatique

Programme Bug Bounty

Atlassian exploite un programme Bug Bounty public pour ses produits par le biais de son partenaire, Bugcrowd. Les chercheurs en sécurité peuvent être payés en échange de la soumission à Atlassian de rapports de vulnérabilité éligibles par l'intermédiaire des programmes de primes.

Divulgation publique

Atlassian se fixe pour priorité de résoudre toute faille de sécurité dans ses produits dans les délais identifiés dans sa politique de correction des bugs de sécurité. Atlassian suit un processus coordonné de divulgation des vulnérabilités et exige, pour la protection de ses clients, que toute personne signalant une vulnérabilité en fasse de même.

Vous voulez aller plus loin ?

Notre approche de la gestion des vulnérabilités

Notre approche en matière de tests de sécurité externes