Close

Policy di correzione dei bug di sicurezza

Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.


Ambito

Di seguito vengono descritte la tempistica e la modalità di risoluzione dei bug di sicurezza nei nostri prodotti. Non è descritto il processo completo di divulgazione o consulenza cui ci atteniamo.

Obiettivi di livelli di servizio (SLO) per le correzioni dei bug relativi alla sicurezza

Abbiamo definito le seguenti tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:

Accelerazione della tempistica di risoluzione

Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian.

  • Bug di gravità critica (punteggio CVSS v2 >= 8, punteggio CVSS v3 >= 9) da correggere nel prodotto entro 2 settimane dalla segnalazione.
  • Bug di gravità elevata (punteggio CVSS v2 >= 6, punteggio CVSS v3 >= 7) da correggere nel prodotto entro 4 settimane dalla segnalazione.
  • Bug di gravità media (punteggio CVSS v2 >= 3, punteggio CVSS v3 >= 4) da correggere nel prodotto entro 6 settimane dalla segnalazione.
  • Bug di gravità bassa (punteggio CVSS v2 <= 3, punteggio CVSS v3 <= 4) da correggere nel prodotto entro 25 settimane dalla segnalazione.

Tempistiche di risoluzione estese

Queste tempistiche si applicano a tutti i prodotti Atlassian autogestiti e a Jira Align (sia nella versione cloud che autogestita). Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include applicazioni server, data center, desktop e mobili di Atlassian.

  • Bug di gravità critica, elevata e media (punteggio CVSS v2 >= 3, punteggio CVSS v3 >= 4) da correggere nel prodotto entro 90 giorni dalla segnalazione.
  • Bug di gravità bassa (punteggio CVSS v2 <= 3, punteggio CVSS v3 <= 4) da correggere nel prodotto entro 180 giorni dalla segnalazione.

Vulnerabilità critiche

Quando una vulnerabilità della sicurezza critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian effettuerà tutte le seguenti operazioni:

  • Pubblicazione di un nuovo rilascio corretto per la versione corrente del prodotto interessato il più presto possibile.
  • Pubblicazione di un nuovo rilascio di manutenzione per una versione precedente, come segue:

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018

Confluence Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018

Bitbucket Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug.

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.
Prodotto

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Desk Server e Data Center

Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018
Prodotto

Confluence Server e Data Center

Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018
Prodotto

Bitbucket Server e Data Center

Policy sul backport

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.
Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug.

Prodotto

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Policy sul backport

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Esempio

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

È importante rimanere aggiornati sul rilascio più recente di correzione dei bug per la versione del prodotto utilizzata (questa è la best practice). Ad esempio, se utilizzi Jira Software 7.5.0, devi effettuare l'aggiornamento a Jira Software 7.5.3 in modo proattivo. Se viene rilasciata una nuova correzione dei bug relativi alla sicurezza, ad esempio Jira Software 7.5.4, la differenza tra le due versioni è minima (cioè solo la correzione di sicurezza) e questo ne semplifica l'applicazione.

Il processo di risoluzione delle vulnerabilità critiche non si applica ai nostri prodotti Atlassian Cloud in quanto questi servizi vengono sempre corretti da Atlassian senza ulteriori azioni da parte dei clienti.

Vulnerabilità non critiche

Quando si rileva un problema di sicurezza di gravità elevata, media o bassa , Atlassian includerà una correzione nel rilascio pianificato successivo. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile.

È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.

Altre informazioni

Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i problemi di sicurezza.

Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.

FAQ

Che cosa si intende per "rilascio di supporto a lungo termine"? Mostra di più
  

I rilasci di supporto a lungo termine sono destinati ai clienti Server e Data Center che preferiscono avere più tempo a disposizione per prepararsi agli aggiornamenti alle nuove versioni delle funzioni, ma che hanno comunque la necessità di ricevere le correzioni di bug. Per alcuni prodotti verrà designata una versione specifica come rilascio di supporto a lungo termine, il che significa che le correzioni di bug di sicurezza saranno rese disponibili per l'intera finestra di supporto di 2 anni.

Cosa si intende per "rilascio di funzioni"? Mostra di più
  

Un rilascio di funzioni è una versione (ad esempio 4.3) che contiene nuove funzioni o modifiche importanti alle funzioni esistenti, ma che non è stata designata come rilascio di supporto a lungo termine. Vedi la policy per la correzione dei bug di Atlassian per ulteriori informazioni sulla terminologia relativa ai rilasci.

Perché i rilasci futuri delle funzioni di Bitbucket, Jira e Confluence coprono un periodo di soli 6 mesi? Mostra di più
  

I rilasci di Bitbucket Server sono molto frequenti, pertanto in 6 mesi vengono rilasciate 5-6 versioni principali. Dalla metà del 2017 è applicata una frequenza simile anche per Jira e Confluence, i cui rilasci vengono effettuati 5-6 volte l'anno.

Perché per altri prodotti come Bamboo e Fisheye/Crucible è possibile eseguire il backport solo a una versione principale precedente? Mostra di più
  

La nostra attenzione è focalizzata su Jira, Confluence e Bitbucket Server, ma possiamo valutare la possibilità di estendere il backport di Bamboo, Fisheye/Crucible e di altri prodotti ad altre versioni principali, sulla base delle richieste degli utenti.