Signaler des vulnérabilités


Nous ne sommes pas en mesure de répondre aux rapports groupés générés par des dispositifs d'analyse automatisés. Si vous identifiez des problèmes à l'aide d'un dispositif d'analyse automatisé, nous vous recommandons de demander à un expert en sécurité d'examiner ces problèmes et de s'assurer que les conclusions sont valables avant de soumettre un rapport de vulnérabilité à Atlassian.

Si vous pensez avoir identifié un problème de sécurité qui correspond à la définition d'une vulnérabilité selon Atlassian, veuillez soumettre le rapport à notre équipe de sécurité de l'une des façons suivantes :

Si vous êtes client :

Si vous êtes chercheur en sécurité :

Seules les vulnérabilités soumises par le biais de notre programme Bug Bounty sont éligibles à une prime.

Veuillez inclure les informations suivantes dans votre rapport :

  • Le type de problème (Cross-site Scripting, SQL Injection, exécution de code arbitraire [RCE], etc.)
  • Le produit et la version contenant le bug ou une URL s'il s'agit d'un service cloud
  • L'impact potentiel de la vulnérabilité (c.-à-d., les données accessibles ou modifiées)
  • Des instructions détaillées pour reproduire le problème
  • La démonstration de faisabilité ou le code d'exploitation nécessaire à la reproduction du problème

Si vous souhaitez chiffrer votre soumission avec notre clé PGP, vous pouvez la télécharger ici.

Définition d'une vulnérabilité

Atlassian considère une vulnérabilité ou faille de sécurité comme une faiblesse dans l'un de ses produits ou dans son infrastructure susceptible de permettre à un attaquant de nuire à la confidentialité, à l'intégrité ou la disponibilité du produit ou de l'infrastructure.

Nous ne considérons pas les types de découvertes suivants comme des failles de sécurité :

  • Présence ou absence d'en-têtes HTTP (X-Frame-Options, CSP, nosniff, etc.). Il s'agit de bonnes pratiques de sécurité. Par conséquent, nous ne les classifions pas comme des vulnérabilités.
  • Attributs de sécurité manquants dans les cookies non sensibles. Les produits Atlassian peuvent définir certains attributs de sécurité dans les cookies utilisés dans nos apps. L'absence de ces en-têtes dans les cookies non sensibles n'est pas considérée comme une faille de sécurité.
  • Traces de pile exposées. Nous ne considérons pas les traces de pile en elles-mêmes comme un problème de sécurité. Si vous trouvez une trace de pile détaillant des informations personnelles identifiables ou du contenu généré par l'utilisateur, veuillez soumettre un rapport expliquant le problème.
  • Spoofing de contenu par les utilisateurs administrateurs. Nous autorisons les administrateurs à injecter du contenu HTML dans des zones spécifiques de certains produits comme une fonctionnalité de personnalisation et ne considérons pas cela comme une vulnérabilité.
  • Clickjacking sur les pages Jira Server ou sur les pages qui ne contiennent que du contenu statique. Pour en savoir plus, reportez-vous à l'article https://jira.atlassian.com/browse/JRASERVER-25143.
  • Activation ou désactivation de la saisie automatique

Programme Bug Bounty

Atlassian exploite un programme Bug Bounty public pour ses produits par le biais de son partenaire, Bugcrowd. Les chercheurs en sécurité peuvent être payés en échange de la soumission à Atlassian de rapports de vulnérabilité éligibles par l'intermédiaire des programmes de primes.

Divulgation publique

Atlassian se fixe pour priorité de résoudre toute faille de sécurité dans ses produits dans les délais identifiés dans sa politique de correction des bugs de sécurité. Atlassian suit un processus coordonné de divulgation des vulnérabilités et exige, pour la protection de ses clients, que toute personne signalant une vulnérabilité en fasse de même.