Notre approche en matière de tests de sécurité externes
Bienvenue sur notre hub de tests de sécurité, conçu pour vous fournir des informations complètes sur les initiatives de test de sécurité implémentées par Atlassian pour garantir la sûreté et la protection de nos produits et de nos précieux clients.
Vous cherchez quelque chose en particulier ? Accélérez votre recherche en utilisant l'un des liens ci-dessous, ou poursuivez votre lecture pour en savoir plus sur le programme de tests de sécurité externe d'Atlassian.
Atlassian adopte une approche multidimensionnelle pour garantir la sécurité externe de ses produits. Nous avons un modèle de tests en continu qui repose sur un programme Bug Bounty public, complété par des tests d'intrusion réguliers réalisés par des sociétés de conseil en sécurité externes et notre équipe interne de tests de sécurité.
Notre philosophie et notre approche
Chez Atlassian, nous sommes bien connus pour nos valeurs, qui influencent véritablement toutes nos actions, y compris notre approche des tests de sécurité. Dans la pratique, nos valeurs nous ont conduits à adopter les philosophies et approches suivantes :
- Les bugs font inévitablement partie du processus de développement. La question n'est pas de savoir si nous en rencontrons, mais si nous sommes capables de les identifier et de les résoudre de façon efficace et rapide. Cela ne signifie pas pour autant que nous aimons les bugs ou que nous ne cherchons pas en permanence des moyens innovants pour réduire leur fréquence et leur gravité, mais quand il est question de bugs logiciels, le déni n'est pas une approche efficace.
- Nous prenons en charge et appliquons les normes du secteur. En standardisant notre terminologie et notre approche, nous avons la certitude de couvrir tous les points et nous aidons nos clients à comprendre ce que nous faisons, et pourquoi. Par exemple, les évaluations standard des vulnérabilités à l'aide du système CVSS (Common Vulnerability Scoring System) garantissent une certaine clarté entre nos clients et nous-mêmes quant à la gravité d'une vulnérabilité donnée. Nous appliquons également les processus de gestion des vulnérabilités décrits dans la norme ISO 27001 et dans le programme CSA (Cloud Security Alliance).
- Les chercheurs en sécurité et les personnes réalisant des tests d'intrusion tiers constituent un complément précieux pour notre équipe. Si un produit Atlassian présente une vulnérabilité, il en va de l'intérêt de tous (tant du nôtre que de celui de nos clients) de l'identifier et de la corriger aussi rapidement que possible.
- Atlassian fait appel à des personnes réalisant des tests d'intrusion tiers indépendants pour détecter les failles de sécurité de nos produits chaque année et compléter notre équipe de sécurité interne pour les missions nécessitant des compétences hautement spécialisées.
- Atlassian incite également les chercheurs externes à identifier les vulnérabilités dans ses produits grâce à des primes en espèces dans le cadre de son programme Bug Bounty.Avec leur aide, nous sommes en mesure de faire évoluer notre équipe bien au-delà des approches traditionnelles !
- Nous faisons preuve d'ouverture et de transparence en ce qui concerne notre programme de tests de sécurité. Nous fournissons des lettres d'évaluation (LoA) pour les tests d'intrusion effectués sur nos produits et des statistiques sur les bugs découverts dans le cadre de notre programme Bug Bounty ci-dessous.
Assurance sécurité continue
Tests d'intrusion
Nous faisons appel à des sociétés de services de sécurité spécialisées pour effectuer les tests d'intrusion dans nos produits et autres systèmes. En outre, nous avons une équipe interne de tests de sécurité qui travaille en collaboration avec des consultants tiers pour garantir la sécurité technique des projets hautement prioritaires, par exemple pour une nouvelle fonctionnalité de produit (p. ex., Tableaux blancs Confluence), la configuration d'une nouvelle infrastructure (p. ex., notre environnement FedRAMP) ou un changement dans l'architecture (p. ex., nouvelle exécution Forge).
Dans ces cas, notre approche des tests d'intrusion est ciblée. Voici la liste des tests que nous menons :
- Boîte blanche : les testeurs reçoivent de la documentation sur la conception de nos produits et sont briefés par nos ingénieurs produit pour les aider dans leurs tests. Ils auront également les moyens de les contacter pour toute question lors de l'engagement afin de les aider dans leurs tests.
- Approche assistée par le code : les testeurs disposent d'un accès total à la base de code pertinente pour les aider à diagnostiquer les comportements inattendus du système durant les tests et à identifier les cibles potentielles.
- Approche basée sur la menace : les tests se concentrent sur un scénario de menace donné, comme l'existence supposée d'une instance compromise, et évaluent les mouvements latéraux possibles à partir de ce point.
- Axé sur la méthodologie : les testeurs utilisent une gamme de tests sur boîte blanche personnalisés basés sur des méthodologies reconnues par le secteur, telles que l'Open Web Application Security Project (OWASP). Cela garantit que les tests prennent en compte les menaces propres à l'infrastructure et aux technologies d'Atlassian.
Nous publions des lettres d'évaluation (LoA) de nos partenaires réalisant les tests d'intrusion. Celles-ci sont disponibles au bas de cette page pour une utilisation externe.En raison de l'exhaustivité des informations internes mises à la disposition des testeurs pour mener ces évaluations, nous ne fournissons pas les rapports complets. La majorité de ces systèmes et produits seront inclus à notre programme Bug Bounty public, offrant ainsi une garantie externe continue. Tous les résultats de ces évaluations seront triés et corrigés selon notre SLO public pour les failles de sécurité.
Programme Bug Bounty
Notre programme Bug Bounty est hébergé par Bugcrowd. Il s'assure que nos produits sont constamment testés afin d'identifier d'éventuelles failles de sécurité.
Nous pensons que les nombreux chercheurs en sécurité indépendants qui participent à notre programme Bug Bounty contribuent à un processus externe efficace, car :
- Un programme Bug Bounty est toujours disponible. Des tests continus sont indispensables pour créer un environnement de développement vraiment Agile où les livraisons sont fréquentes.
- Un programme Bug Bounty implique plus de 60 000 chercheurs potentiels. Cela assure une capacité globale élevée de compétences aux chercheurs pour réaliser l'assurance technique.
- Les chercheurs participant au programme Bug Bounty développent des outils spécialisés et procèdent de façon verticale (types de bug spécifiques) et horizontale (primes spécifiques). Cette spécialisation offre la plus grande chance d'identifier les failles cachées, mais importantes.
Plus de 25 de nos produits ou environnements (qu'il s'agisse de nos produits Data Center ou Cloud, ou encore de nos apps mobiles) entrent dans le champ d'application de notre programme Bug Bounty. Tous les détails relatifs au nombre de vulnérabilités signalées, à notre temps de réponse moyen et à notre rémunération moyenne sont inclus sur le site Bugcrowd, et plus de 2 800 chercheurs se sont spécifiquement inscrits à notre programme.
Parmi les failles que nous cherchons à identifier grâce à notre programme Bug Bounty figurent les types communs répertoriés dans les listes de menaces OWASP (Open Web Application Security Project) et WASC (Web Application Security Consortium),
Dans le cadre de nos efforts d'ouverture et de transparence, nous invitons toute personne intéressée à consulter la page dédiée à notre programme Bug Bounty, à s'inscrire au programme et à nous tester.
Apps du Marketplace
Elles sont couvertes dans des programmes Bug Bounty distincts hébergés par Atlassian, comme le Vulnerability Disclosure Program et le programme Bug Bounty pour les apps développées par Atlassian.
Tests à l'initiative du client
Nous autorisons les tests à l'initiative du client conformément aux conditions d'utilisation de nos produits Cloud. Nous nous engageons à être ouverts et à publier régulièrement les statistiques de notre programme Bug Bounty.
Nous pensons que notre programme Bug Bounty constitue une approche plus efficace et plus économique pour évaluer la sécurité de nos produits et services, mais nous comprenons que vous puissiez vouloir tester la sécurité par vous-même. Nous autorisons les clients à effectuer des évaluations de sécurité (tests d'intrusion, évaluations des vulnérabilités) et nous vous demandons de suivre quelques règles pour assurer notre sécurité à tous.
Signalement des failles
Si vous trouvez un problème que vous souhaitez signaler à Atlassian, veuillez consulter nos instructions sur le signalement d'une vulnérabilité.
Chez Atlassian, l'une de nos valeurs est « Oui à la transparence, non au baratin » et nous sommes convaincus que la divulgation des vulnérabilités en fait partie. Notre but est de corriger les failles de sécurité dans le cadre des objectifs de niveau de service (SLO) pertinents. Nous acceptons les demandes de divulgation effectuées par l'intermédiaire de nos programmes Bug Bounty une fois qu'un problème a été résolu et livré en production. Cependant, si le rapport contient des données client, la demande sera rejetée. Si vous prévoyez une divulgation en dehors de nos programmes Bug Bounty, nous vous demandons de nous en informer dans un délai raisonnable et d'attendre que le SLO associé soit terminé.
Exclusions de notre programme de tests de sécurité
Nous sommes ouverts et transparents quant aux tests que nous menons. Nous suivons également cette approche pour les tests que nous ne réalisons pas nous-mêmes ou que nous ne prenons pas actuellement en charge. Certains types de vulnérabilités à faible risque, notamment liées à l'énumération et à la collecte d'informations ne sont généralement pas considérées comme présentant un risque important
Mesurer les bons facteurs
Notre politique de correction des bugs de sécurité indique les délais des objectifs de niveau de service (SLO) pour corriger les vulnérabilités en fonction de la gravité ainsi que du produit. Lorsque nous évaluons les vulnérabilités, nous utilisons le système CVSS (Common Vulnerability Scoring System), qui nous permet de communiquer la gravité des vulnérabilités à nos clients.
En résumé
Le programme Bug Bounty public d'Atlassian, les services de conseil externes en sécurité et notre équipe interne de test de sécurité forment un modèle complet, mature et transparent. Cela garantit que nos produits et plateformes sont constamment testés et sécurisés, offrant ainsi une assurance continue à nos clients.
Vous voulez aller plus loin ?
Ce bref article fait référence à de nombreux autres documents et ressources. Nous vous encourageons à les consulter en détail pour en savoir plus sur notre approche en matière de tests de sécurité.
- Atlassian Trust Center
- Pratiques de sécurité Atlassian
- Inscription d'Atlassian au registre STAR de CSA
- Politique de correction des bugs Atlassian
- Page de signalement des failles d'Atlassian
- Responsabilités d'Atlassian en cas d'incident de sécurité
- Page d'accueil du programme Bug Bounty d'Atlassian
- Programmes Bug Bounty d'Atlassian
- Programme Bug Bounty pour les apps du Marketplace développées par Atlassian
- Programme Bug Bounty pour les apps du Marketplace développées par des fournisseurs tiers
- Programme Bug Bounty pour Opsgenie
- Programme Bug Bounty pour Statuspage
- Programme Bug Bounty pour Trello
- Programme Bug Bounty pour Halp
- Programme Bug Bounty d'Atlassian pour tous les autres produits (Jira, Confluence, Bitbucket, etc.)
Téléchargez les derniers rapports Bug Bounty
Toute faille de sécurité identifiée dans les rapports ci-dessous est suivie dans notre instance Jira interne à mesure qu'elle est réceptionnée dans le processus Bug Bounty. Toutes les découvertes faites dans le cadre du programme sont triées et corrigées conformément à notre SLO public pour les failles de sécurité.
- Télécharger le dernier rapport du programme Bug Bounty d'Atlassian (juillet 2024)
- Télécharger le dernier rapport du programme Bug Bounty pour Halp (juillet 2024)
- Télécharger le dernier rapport du programme Bug Bounty pour Jira Align (juillet 2024)
- Télécharger le dernier rapport du programme Bug Bounty pour Opsgenie (juillet 2024)
- Télécharger le dernier rapport du programme Bug Bounty pour Statuspage (juillet 2024)
- Télécharger le dernier rapport du programme Bug Bounty pour Trello (juillet 2024)
Téléchargez le rapport annuel Bug Bounty
Outre nos mises à jour trimestrielles sur les Bug Bounty, nous publions également un rapport annuel sur nos programmes Bug Bounty. Ce rapport donne à nos clients un aperçu de la progression du programme et fournit des informations détaillées sur les types de vulnérabilités découvertes.
- Télécharger le rapport du programme Bug Bounty d'Atlassian pour l'exercice 2023 (juillet 2022 à juin 2023)
Téléchargez les lettres d'évaluation (LoA)
Toutes les failles de sécurité identifiées dans les rapports ci-dessous sont suivies dans notre instance Jira interne lors du processus de signalement des tests d'intrusion. Tous les résultats de ces évaluations seront triés et corrigés selon notre SLO public pour les failles de sécurité.
- Lettre d'évaluation pour Bitbucket Pipelines (mai 2022)
- Lettre d'évaluation de Jira Cloud Google OAuth (octobre 2022)
- Lettre d'évaluation de la bibliothèque Atlassian Log4j pour Confluence et Jira (décembre 2022)
- Lettre d'évaluation de Statuspage Cloud (décembre 2022)
- Lettre d'évaluation pour Atlas (2023-04)
- Lettre d'évaluation pour Atlassian Assist (juillet 2023)
- Lettre d'évaluation pour Atlassian Guard (application web) (septembre 2023)
- Lettre d'évaluation pour Jira Service Management Data Center (décembre 2023)
- Lettre d'évaluation pour Confluence Cloud (décembre 2023)
- Lettre d'évaluation de Trello (janvier 2024)
- Lettre d'évaluation pour Bitbucket Cloud (février 2022)
- Lettre d'évaluation pour Jira Work Management (février 2024)
- Lettre d'évaluation pour Confluence Data Center (février 2024)
- Lettre d'évaluation pour la plateforme Jira Cloud (mars 2024)
- Lettre d'évaluation pour l'évaluation des simulations d'adversaires externes et internes d'Atlassian (04-2024)
- Lettre d'évaluation pour Bamboo Server et Data Center (mai 2024)
- Lettre d’évaluation pour Jira Product Discovery (mai 2024)
- Lettre d'évaluation pour Atlassian Analytics (application web) (juin 2024)
- Lettre d'évaluation pour Atlassian Guard (juin 2024)
- Lettre d'évaluation pour Loom (juin 2024)
- Lettre d'évaluation pour Jira Software Data Center (juin 2024)
- Lettre d'évaluation pour Fisheye & Crucible Server (application web) (juillet 2024)
- Lettre d'évaluation pour Compass (application web) (juillet 2024)
- Lettre d'évaluation pour Crowd Server et Data Center (juillet 2024)
- Lettre d'évaluation de Jira Align (août 2024)
- Lettre d'évaluation pour Sourcetree (septembre 2024)
- Lettre d'évaluation pour Bitbucket Server et Data Center (septembre 2024)
- Lettre d'évaluation pour Forge (septembre 2024)
- Lettre d'évaluation de Jira Service Management, Opsgenie Cloud & AirTrack (sept. 2024)