Close

Segnala una vulnerabilità


Se ritieni di aver riscontrato un problema di sicurezza che rientra nell'ambito della definizione di vulnerabilità di Atlassian, invia una segnalazione al nostro team di sicurezza tramite uno dei seguenti metodi:

Se sei un cliente:

Se sei un ricercatore di sicurezza:

Solo le vulnerabilità inviate tramite il nostro programma Bug Bounty sono idonee a ricevere il pagamento previsto dal programma.

Includi le informazioni seguenti nel report:

  • Tipo di problema (Cross-site Scripting, SQL Injection, esecuzione di codice remoto e così via).
  • Prodotto e versione con il bug o un URL se si tratta di un servizio cloud.
  • Potenziale impatto della vulnerabilità (ad es. a quali dati è possibile accedere o quali dati possono essere modificati).
  • Istruzioni dettagliate per riprodurre il problema.
  • Qualsiasi modello di verifica o exploit necessario per riprodurre il problema.

Se desideri utilizzare la nostra chiave PGP per crittografare la richiesta, scaricala qui.

Non siamo in grado di rispondere ai report collettivi generati da scanner automatici. Se si identificano problemi utilizzando uno scanner automatico, è consigliabile che un addetto alla sicurezza riesamini i problemi e verifichi la validità dei rilievi prima di inviare un report di vulnerabilità ad Atlassian.

Definizione di vulnerabilità

Atlassian ritiene che una vulnerabilità della sicurezza in uno dei prodotti o nell'infrastruttura sia un punto debole che potrebbe consentire a un aggressore di compromettere la riservatezza, l'integrità o la disponibilità del prodotto o dell'infrastruttura.

Non consideriamo vulnerabilità della sicurezza i seguenti tipi di rilievi:

  • Presenza o assenza di intestazioni HTTP (X-Frame-Options, CSP, nosniff e così via). Queste sono considerate best practice di sicurezza e pertanto non le classifichiamo come vulnerabilità.
  • Attributi correlati alla sicurezza mancanti in cookie non sensibili. I prodotti Atlassian possono impostare determinati attributi di sicurezza nei cookie utilizzati nelle applicazioni. L'assenza di queste intestazioni in cookie non sensibili non è considerata una vulnerabilità della sicurezza.
  • Tracce di stack esposte. Di per sé non consideriamo le tracce di stack come un problema di sicurezza. Se noti che una traccia di stack fornisce informazioni di identificazione personale o contenuti generati dall'utente, invia un report con la descrizione dettagliata del problema.
  • Spoofing di contenuti da parte di utenti amministrativi. Consentiamo agli amministratori di inserire HTML in aree specifiche dei nostri prodotti per esigenze di personalizzazione e non consideriamo tale funzionalità come una vulnerabilità.
  • Utilizzare tecniche di clickjacking nelle pagine di Jira Server o in pagine che includono solo contenuti statici. Per maggiori dettagli, vedi https://jira.atlassian.com/browse/JRASERVER-25143.
  • Completamento automatico abilitato o disabilitato

Programma Bug Bounty

Atlassian gestisce il programma pubblico Bug Bounty per i propri prodotti tramite il partner Bugcrowd. I ricercatori di sicurezza possono ricevere pagamenti in contanti in cambio di un report sulle vulnerabilità idonee inviato ad Atlassian tramite i programmi bounty.

Divulgazione pubblica

Per Atlassian è una priorità risolvere qualsiasi vulnerabilità della sicurezza presente nei propri prodotti nei tempi indicati nella propria Policy per la correzione dei bug relativi alla sicurezza. Atlassian segue un processo coordinato di divulgazione delle vulnerabilità e, per proteggere i clienti, esige che chiunque segnali una vulnerabilità faccia la stessa cosa.