Policy di correzione dei bug di sicurezza
Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.
Ambito
Questa policy descrive la tempistica e la modalità di risoluzione delle vulnerabilità di sicurezza nei nostri prodotti.
Obiettivi del livello di servizio (SLO) per le correzioni dei bug di sicurezza
Atlassian stabilisce obiettivi del livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito i seguenti obiettivi di tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:
Accelerazione degli obiettivi di risoluzione
Queste tempistiche si applicano a:
- Tutti i prodotti Atlassian basati sul cloud
- qualsiasi software o sistema gestito da Atlassian;
- qualsiasi software o sistema in esecuzione sull'infrastruttura Atlassian;
- Jira Align, versioni cloud e autogestite.
A seconda del livello di vulnerabilità, abbiamo definito le seguenti tempistiche per la correzione dei bug di un prodotto dopo la verifica:
- critico - 14 giorni
- alto - 28 giorni
- medio - 42 giorni
- basso: 175 giorni
Tempistiche di risoluzione estese
Questi obiettivi di tempistiche si applicano a tutti i prodotti Atlassian Data Center. I prodotti Data Center sono installati dai clienti su sistemi gestiti in autonomia e includono Data Center e app per dispositivi mobili di Atlassian.
- Le vulnerabilità con livello di gravità critico, elevato e medio devono essere corrette nel prodotto entro 90 giorni dalla verifica.
- Le vulnerabilità con livello di gravità basso devono essere corrette nel prodotto entro 180 giorni dalla verifica.
Modello di responsabilità condivisa
Sebbene Atlassian si impegni a fornire prodotti sicuri pronti all'uso, ci affidiamo anche a un modello di responsabilità condivisa. Questo modello richiede ai clienti di adottare pratiche che continuino dopo la distribuzione e si estendano alle fasi operative. Queste responsabilità includono:
- Utilizzo del software Atlassian su reti private.
- Implementazione tempestiva delle correzioni di sicurezza una volta rilasciate.
- Configurazione di firewall per le applicazioni web, VPN, autenticazione a più fattori e Single Sign-on.
- Implementazione della crittografia e dei controlli di accesso.
- Esecuzione di backup regolari.
- Effettuazione di controlli di sicurezza regolari.
Vulnerabilità critiche
Quando una vulnerabilità critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian eseguirà le seguenti azioni:
- Per i prodotti cloud, rilasceremo il prima possibile una nuova versione corretta per il prodotto interessato.
- Per i prodotti autogestiti, faremo quanto segue:
- Rilasceremo una versione di correzione dei bug per l'ultimo rilascio di funzionalità del prodotto interessato.
- Effettueremo un nuovo rilascio di funzionalità per il prodotto interessato nei tempi previsti.
- Rilasceremo una versione di correzione dei bug per tutte le versioni del supporto a lungo termine (LTS) supportate del prodotto interessato, in conformità con la policy di fine vita dell'Assistenza Atlassian.
Prodotto | Policy sul backport | Esempio |
|---|---|---|
| Jira Software Server e Data Center Jira Server e Data Center Jira Service Management Server e Data Center (in precedenza Jira Service Desk) | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
| Confluence Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
| Bitbucket Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
Bitbucket 6.3.0 è stata rilasciata il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato fornito anche un rilascio di correzione dei bug. |
| Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente. | Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere forniti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Per Crowd, Fisheye e Crucible, forniremo un rilascio di correzione dei bug per l'ultimo rilascio di funzioni del prodotto interessato.
Esempi di correzioni di vulnerabilità critiche per i prodotti autogestiti:
Se la correzione di una vulnerabilità critica è stata sviluppata in data 1° febbraio 2024, di seguito sono riportati esempi di rilasci che riceverebbero la correzione dei bug:
Prodotto | Esempio |
|---|---|
| Jira Software | Esempio Jira Software 9.13.x perché 9.13.0 è l'ultimo rilascio di funzioni |
| Esempio Jira Software 9.12.x perché 9.12.0 è l'ultimo rilascio di supporto a lungo termine | |
| Esempio Jira Software 9.4.x perché 9.4.0 è il rilascio di supporto a lungo termine precedente | |
| Jira Service Management | Esempio Jira Service Management 5.13.x perché 5.13.0 è l'ultimo rilascio di funzioni |
| Esempio Jira Service Management 5.12.x perché 5.12.0 è l'ultimo rilascio di supporto a lungo termine | |
| Esempio Jira Service Management 5.4.x perché 5.4.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
| Confluence | Esempio Confluence 8.7.x perché 8.7.0 è l'ultimo rilascio di funzioni |
| Esempio Confluence 8.5.x perché 8.5.0 è l'ultimo rilascio di supporto a lungo termine | |
| Esempio Confluence 7.19.x perché 7.19.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
| Bitbucket | Esempio Bitbucket 8.17.x perché 8.17.0 è l'ultimo rilascio di funzioni |
| Esempio Bitbucket 8.9.x perché 8.9.0 è l'ultimo rilascio di supporto a lungo termine | |
| Esempio Bitbucket 7.21.x perché 7.21.0 è il secondo ultimo rilascio di supporto a lungo termine supportato | |
| Bamboo | Esempio Bamboo 9.5.x perché 9.5.0 è l'ultimo rilascio di funzioni |
| Esempio Bamboo 9.2.x perché 9.2.0 è l'ultimo rilascio di supporto a lungo termine | |
| Crowd | Esempio Crowd 5.3.x perché 5.3.0 è l'ultimo rilascio di funzioni |
| Fisheye/Crucible | Esempio Fisheye/Crucible 4.8.x perché 4.8.0 è l'ultimo rilascio di funzioni |
Nessun'altra versione del prodotto riceverebbe nuove correzioni dei bug.
Gli upgrade frequenti garantiscono la sicurezza delle istanze del tuo prodotto. Come best practice, suggeriamo di rimanere sull'ultima versione di correzione dei bug dell'ultimo rilascio di funzioni o dell'ultimo rilascio del supporto a lungo termine (LTS) del tuo prodotto.
Vulnerabilità non critiche
Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione nei tempi previsti dagli obiettivi del livello di servizio elencati all'inizio di questo documento. Ove possibile, verrà effettuato il backport della correzione ai rilasci di supporto a lungo termine. La fattibilità del backport è legata a una serie di fattori, come le dipendenze software, le modifiche all'architettura e i problemi di compatibilità.
Per avere la certezza che le tue installazioni contengano le ultime correzioni di sicurezza, aggiornale ogni volta che diventa disponibile un rilascio di correzione dei bug.
Altre informazioni
Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i ticket di sicurezza.
Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.