Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua
Prodotti

In primo piano

Jira Software

Monitoraggio di progetti e ticket

Confluence

Collaborazione sui contenuti

Jira Service Management

ITSM high-velocity

Trello

Gestione visiva dei progetti

Vedi tutti i prodotti

Marketplace

Connetti migliaia di app e integrazioni per tutti i tuoi prodotti Atlassian

Close dropdown
Soluzioni

In primo piano

Gestione del lavoro

Gestisci i progetti e allinea gli obiettivi di tutti i team per raggiungere i risultati finali

Gestione dei servizi IT

Consenti ai team aziendali, di sviluppo e delle operazioni IT di offrire un ottimo servizio high velocity

Agile e DevOps

Gestisci un'organizzazione software Agile di alta qualità, dall'individuazione alla distribuzione e alle operazioni

PER DIMENSIONE DEL TEAM

Aziende

Piccole imprese

Startup

Organizzazioni non profit

PER FUNZIONE DEL TEAM

Sviluppo software

IT

Finanza

Marketing

Risorse umane

Per settore

Vendita al dettaglio

Telecomunicazioni

Servizi professionali

Enti pubblici

Close dropdown
Risorse

Apprendimento

Atlassian University

Playbook Atlassian

Documentazione prodotto

Risorse per sviluppatori

Assistenza

Atlassian Community

Assistenza Atlassian

Atlassian Migration Program

Servizi aziendali

Supporto dei partner

Acquisti e licenze

Connessioni

Informazioni su di noi

Opportunità di carriera

Blog Work Life

Eventi

Il supporto per i prodotti Server terminerà il 15 febbraio 2024

Man mano che si avvicina la fine del supporto per i nostri prodotti Server, crea un piano vincente per la tua migrazione a Cloud con l'Atlassian Migration Program.

Valuta le mie opzioni

Close dropdown
Search
Provalo ora
Toggle menu
Close search

Policy di correzione dei bug di sicurezza

Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.

Ambito

Di seguito vengono descritte la tempistica e la modalità di risoluzione dei bug di sicurezza nei nostri prodotti. Non è descritto il processo completo di divulgazione o consulenza cui ci atteniamo.

Obiettivi di livelli di servizio (SLO) per le correzioni dei bug relativi alla sicurezza

Atlassian stabilisce obiettivi di livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito le seguenti tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:

Accelerazione della tempistica di risoluzione

Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian. Si applicano anche a Jira Align (sia la versione cloud sia la versione autogestita).

  • I bug di gravità critica devono essere corretti nel prodotto entro 2 settimane dalla verifica
  • I bug di gravità alta devono essere corretti nel prodotto entro 4 settimane dalla verifica
  • I bug di gravità media devono essere corretti nel prodotto entro 6 settimane dalla verifica
  • I bug di gravità bassa devono essere corretti nel prodotto entro 25 settimane dalla verifica

Tempistiche di risoluzione estese

Queste tempistiche si applicano a tutti i prodotti Atlassian autogestiti. Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include applicazioni server, data center, desktop e mobili di Atlassian.

  • I bug di gravità critica, alta e media devono essere corretti nel prodotto entro 90 giorni dalla verifica
  • I bug di gravità bassa devono essere corretti nel prodotto entro 180 giorni dalla verifica

Vulnerabilità critiche

Quando una vulnerabilità della sicurezza critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian effettuerà tutte le seguenti operazioni:

  • Pubblicazione di un nuovo rilascio corretto per la versione corrente del prodotto interessato il più presto possibile.
  • Pubblicazione di un nuovo rilascio di manutenzione per una versione precedente, come segue:

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018

Confluence Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018

Bitbucket Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug.

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Confluence Server e Data Center

Bitbucket Server e Data Center

Bamboo Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Se la correzione di un bug di sicurezza critico è stata sviluppata in data 01/01/2020, di seguito sono riportati esempi di rilasci che riceverebbero la correzione dei bug:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17/12/2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 04/12/2018
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata in data 01/10/2019
  • Bamboo 6.10.x perché la versione 6.10.2 è stata rilasciata il 17/09/2019

Di seguito sono riportati alcuni esempi di rilasci che non riceverebbero la correzione dei bug:

  • Jira 7.6.x perché la versione 7.6.0 è un rilascio di supporto a lungo termine e la versione 7.6.0 è stata rilasciata in data 16/11/2017
  • Confluence 6.14.x perché la versione 6.14.0 è stata rilasciata in data 22/01/2019
  • Bitbucket 6.3.x perché la versione 6.3.0 è stata rilasciata in data 14/05/2019
  • Bamboo 6.9.x perché la versione 6.9.0 è stata rilasciata il 23/05/2019

Tutti gli altri prodotti (Crucible, Fisheye, ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Crowd, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Crowd 3.7.x perché è stato rilasciato il 3 ottobre 2019 ed è il rilascio corrente.
  • Crowd 3.6.x perché è la versione precedente
Prodotto

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Desk Server e Data Center
Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018
Prodotto

Confluence Server e Data Center
Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018
Prodotto

Bitbucket Server e Data Center
Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug.
Prodotto

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)
Policy sul backport

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

È importante rimanere aggiornati sul rilascio più recente di correzione dei bug per la versione del prodotto utilizzata (questa è la best practice). Ad esempio, se utilizzi Jira Software 7.5.0, devi effettuare l'aggiornamento a Jira Software 7.5.3 in modo proattivo. Se viene rilasciata una nuova correzione dei bug relativi alla sicurezza, ad esempio Jira Software 7.5.4, la differenza tra le due versioni è minima (cioè solo la correzione di sicurezza) e questo ne semplifica l'applicazione.

Il processo di risoluzione delle vulnerabilità critiche non si applica ai nostri prodotti Atlassian Cloud in quanto questi servizi vengono sempre corretti da Atlassian senza ulteriori azioni da parte dei clienti.

Vulnerabilità non critiche

Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione all'interno degli obiettivi a livello di servizio elencati all'inizio di questo documento. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile.

È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.

Altre informazioni

Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i problemi di sicurezza.

Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.

FAQ

Che cosa si intende per "rilascio di supporto a lungo termine"? Copy link to heading Copied! Mostra di più
  

I rilasci di supporto a lungo termine sono destinati ai clienti Server e Data Center che preferiscono avere più tempo a disposizione per prepararsi agli aggiornamenti alle nuove versioni delle funzioni, ma che hanno comunque la necessità di ricevere le correzioni di bug. Per alcuni prodotti verrà designata una versione specifica come rilascio di supporto a lungo termine, il che significa che le correzioni di bug di sicurezza saranno rese disponibili per l'intera finestra di supporto di 2 anni.
Cosa si intende per "rilascio di funzioni"? Copy link to heading Copied! Mostra di più
  

Un rilascio di funzioni è una versione (ad esempio 4.3) che contiene nuove funzioni o modifiche importanti alle funzioni esistenti, ma che non è stata designata come rilascio di supporto a lungo termine. Vedi la policy per la correzione dei bug di Atlassian per ulteriori informazioni sulla terminologia relativa ai rilasci.
Perché i rilasci futuri delle funzioni di Bitbucket, Jira e Confluence coprono un periodo di soli 6 mesi? Copy link to heading Copied! Mostra di più
  

I rilasci di Bitbucket Server sono molto frequenti, pertanto in 6 mesi vengono rilasciate 5-6 versioni principali. Dalla metà del 2017 è applicata una frequenza simile anche per Jira e Confluence, i cui rilasci vengono effettuati 5-6 volte l'anno.
Perché per altri prodotti come Bamboo e Fisheye/Crucible è possibile eseguire il backport solo a una versione principale precedente? Copy link to heading Copied! Mostra di più
  

La nostra attenzione è focalizzata su Jira, Confluence e Bitbucket Server, ma possiamo valutare la possibilità di estendere il backport di Bamboo, Fisheye/Crucible e di altri prodotti ad altre versioni principali, sulla base delle richieste degli utenti.