Il nostro approccio ai test di sicurezza esterni

Atlassian adotta un approccio poliedrico alla garanzia esterna della sicurezza dei nostri prodotti. Ci avvaliamo di un modello di test sempre attivo che utilizza un bug bounty in crowdsourcing, accompagnato da regolari test di penetrazione strutturali eseguiti da consulenti esterni e dal nostro team interno dedicato ai test di sicurezza.

La nostra filosofia e il nostro approccio

Atlassian è nota per i suoi valori, che influiscono realmente su tutto ciò che facciamo, incluso il nostro approccio ai test di sicurezza. In pratica, i nostri valori sono alla base della filosofia e degli approcci descritti di seguito:

• I bug sono una parte inevitabile del processo di sviluppo; la domanda da porsi non è se ci sono dei bug, ma in che misura e con quale rapidità riusciamo a trovarli e a risolverli.Questo non significa accettare che i bug esistano o che il nostro operato non sia basato sull'innovazione costante volta a ridurne la frequenza e la gravità, ma che in fatto di bug del software adottare un atteggiamento di negazione del problema non è un approccio vincente.
• Supportiamo e utilizziamo gli standard del settore: la standardizzazione della nostra terminologia e del nostro approccio ci permette di garantire una copertura completa e aiuta i nostri clienti a comprendere il nostro operato.Ad esempio, le classificazioni standard delle vulnerabilità che utilizzano il Common Vulnerability Scoring System (CVSS) offrono un quadro chiaro della gravità di una specifica vulnerabilità a noi e ai nostri clienti. Seguiamo anche i processi di gestione delle vulnerabilità delineati in ISO 27001 e in Cloud Security Alliance (CSA).
• I ricercatori di sicurezza di terze parti e i tester di penetrazione rappresentano una preziosa estensione del nostro team: se un prodotto Atlassian presenta una vulnerabilità, è nell'interesse di tutti, sia nostro che dei nostri clienti, trovarla e risolverla il più rapidamente possibile.
  • Atlassian coinvolge ogni anno tester di penetrazione indipendenti e di terze parti per trovare vulnerabilità di sicurezza nei nostri prodotti e supportare il team di sicurezza interno in caso di incarichi che richiedano competenze altamente specializzate.
  • Inoltre attraverso il programma Bug Bounty, che prevede riconoscimenti in denaro, Atlassian incentiva i ricercatori esterni a individuare le vulnerabilità presenti nei suoi prodotti. Con l'aiuto di ricercatori di sicurezza esterni, possiamo aumentare le dimensioni del nostro team ben oltre gli approcci tradizionali.
• Adottiamo un approccio di apertura e trasparenza sul nostro programma di test di sicurezza: forniamo lettere di attestazione per i test di penetrazione eseguiti sui nostri prodotti e statistiche sui bug rilevati attraverso il programma Bug Bounty illustrato di seguito.

Garanzia di sicurezza continua

Esecuzione di test di penetrazione.

Ci rivolgiamo a società specializzate in servizi di sicurezza per completare i test di penetrazione dei nostri prodotti e di altri sistemi.Inoltre, abbiamo un team interno dedicato ai test di sicurezza che collabora con consulenti di terze parti per fornire la garanzia tecnica a progetti ad alta priorità, come una nuova funzionalità del prodotto (ad es. Confluence Whiteboards), una nuova configurazione dell'infrastruttura (ad es. il nostro ambiente FedRAMP) o una ridefinizione dell'architettura (ad es. un nuovo runtime di Forge).

Il nostro approccio ai test di penetrazione in questi casi è altamente mirato. I test saranno:

• strutturali: i tester avranno a disposizione la documentazione di progettazione e i briefing dei nostri tecnici di prodotto, a cui potranno rivolgere eventuali domande durante la collaborazione per ricevere supporto con i test
• Accesso al codice: i tester avranno accesso completo alla base di codice pertinente per diagnosticare qualsiasi comportamento imprevisto del sistema durante i test e per identificare i potenziali obiettivi.
• basati sulle minacce: i test saranno focalizzati su uno specifico scenario di minacce; ad esempio, ipotizzando che esista un'istanza compromessa, eseguiremo test del movimento laterale da quel punto di partenza
• basati sulle metodologie: i tester utilizzano una serie di strategie di test strutturali, personalizzati e basati su metodologie riconosciute dal settore come l'Open Web Application Security Project (OWASP). Ciò garantisce che i test tengano conto delle minacce esclusive dell'infrastruttura e delle tecnologie di Atlassian.

Pubblichiamo le lettere di attestazione dei nostri partner responsabili dei test di penetrazione; tali lettere sono disponibili in fondo a questa pagina e possono essere utilizzate esternamente. A causa della grande quantità di informazioni interne messe a disposizione dei tester per lo svolgimento delle valutazioni, non forniamo report completi. La maggior parte di questi sistemi e prodotti sarà inclusa nel programma pubblico Bug Bounty, che offre una garanzia di sicurezza continua fornita da terzi. I risultati di queste valutazioni saranno esaminati e i problemi verranno risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.

Bug Bounty

Il nostro programma Bug Bounty è ospitato da Bugcrowd. Questo programma garantisce che i nostri prodotti siano costantemente testati per scoprire le vulnerabilità di sicurezza.

Crediamo che l'elevato numero di ricercatori di sicurezza indipendenti che partecipano al nostro programma Bug Bounty offra il più efficace processo di test di sicurezza esterni perché:

• I bug bounty sono sempre disponibili. I test continui sono necessari per un ambiente di sviluppo veramente agile con rilasci frequenti.
• Un programma bug bounty può appoggiarsi a oltre 275.000 potenziali ricercatori provenienti da più di 100 paesi. Ciò fornisce un'enorme massa di competenze di ricerca per l'esecuzione di controlli tecnici.
• I ricercatori di bug bounty sviluppano strumenti specializzati e agiscono sia verticalmente, cercando tipi di bug specifici, sia orizzontalmente valutandone l'entità. Questa specializzazione offre la più ampia possibilità di identificare vulnerabilità non note, ma significative.

Più di 30 dei nostri prodotti o ambienti, tra cui i nostri prodotti di intelligenza artificiale, prodotti cloud, prodotti Data Center e app mobili, rientrano nell'ambito del nostro programma bug bounty. Le informazioni dettagliate sul numero di vulnerabilità segnalate, sul nostro tempo medio di risposta e sul pagamento medio sono riportate sul sito Bugcrowd, sul quale oltre 3.700 ricercatori hanno partecipato al nostro programma.

Attraverso il nostro programma Bug Bounty vogliamo identificare i tipi più comuni di vulnerabilità indicati negli elenchi di minacce Open Web Application Security Project (OWASP) e Web Application Security Consortium (WASC),

Nell'ambito della nostra iniziativa di apertura e trasparenza, invitiamo tutti gli utenti a visitare la pagina del nostro programma Bug Bounty, a iscriversi e a condurre test per noi.

App nel Marketplace

Le App del Marketplace sono coperte dal programma Bug Bounty per le App di Atlassian.

Test eseguiti autonomamente dai clienti

Consentiamo test eseguiti dai clienti in linea con i nostri Termini di utilizzo per i nostri prodotti cloud. Abbiamo assunto un impegno in termini di trasparenza e continueremo a pubblicare regolarmente le lettere di attestazione e le statistiche del nostro programma Bug Bounty.

Sebbene riteniamo che il nostro approccio fornisca una garanzia completa dei nostri prodotti e servizi, comprendiamo che potresti voler testare la sicurezza da solo. Consentiamo ai clienti di condurre valutazioni di sicurezza (test di penetrazione o valutazioni delle vulnerabilità), ma chiediamo che, a tale scopo, vengano seguite alcune regole che tutelino la sicurezza di tutti.

Report sulle informazioni di vulnerabilità

Se rilevi un problema che desideri portare all'attenzione di Atlassian, segui le istruzioni su come segnalare una vulnerabilità.

Qui in Atlassian, uno dei nostri valori fondamentali è "Promuovi un'azienda aperta, non solo a parole" e pensiamo che la divulgazione delle vulnerabilità sia parte di questo valore. Il nostro obiettivo è correggere le vulnerabilità della sicurezza all'interno degli obiettivi a livello di servizio (SLO) pertinenti. Accettiamo le richieste di divulgazione effettuate attraverso i nostri programmi Bug Bounty dopo che un problema è stato risolto e rilasciato in produzione. Tuttavia, la richiesta verrà rifiutata se il report contiene dati del cliente. Se hai intenzione di divulgare le vulnerabilità al di fuori dei nostri programmi Bug Bounty, ti chiediamo di darci un ragionevole preavviso e di attendere che l'SLO associato sia passato.

Esclusioni dal nostro programma di test di sicurezza

Il nostro approccio di apertura e trasparenza non si applica solo ai test che conduciamo, ma anche a quelli che non eseguiamo internamente o che al momento non supportiamo. Alcuni tipi di vulnerabilità a basso rischio, come l'enumerazione e la raccolta di informazioni, non sono generalmente considerati rischi significativi.

I nostri strumenti di misurazione

La nostra policy di correzione dei bug di sicurezza definisce le tempistiche degli obiettivi del livello di servizio (SLO) per la risoluzione delle vulnerabilità, in base al livello di gravità e al prodotto. Nella valutazione delle vulnerabilità, utilizziamo il Common Vulnerability Scoring System, che aiuta a comunicare la gravità delle vulnerabilità ai nostri clienti.

In sintesi

Il programma Bug Bounty in crowdsourcing di Atlassian, le consulenze esterne e il nostro team interno dedicato ai test di sicurezza costituiscono un modello completo, maturo e trasparente. Ciò garantisce che i nostri prodotti e le nostre piattaforme siano costantemente testati e protetti, fornendo una garanzia continua ai clienti.

Desideri approfondire l'argomento?

In questo documento di brief abbiamo fatto riferimento a molti altri documenti e risorse e ti invitiamo esaminarli più in dettaglio se vuoi sapere di più sul nostro approccio ai test di sicurezza.

• Atlassian Trust Center
• Pratiche di sicurezza di Atlassian
• CSA STAR di Atlassian
• Policy sulla correzione dei bug di Atlassian
• Pagina dei report sulle vulnerabilità di Atlassian
• Responsabilità degli imprevisti di sicurezza Atlassian
• Home page del programma Bug Bounty di Atlassian
• Programmi Bug Bounty di Atlassian
  • Bug Bounty di app Marketplace sviluppate da Atlassian
  • Bug Bounty di Opsgenie
  • Bug Bounty di Statuspage
  • Bug Bounty di Trello
  • Bug Bounty di Atlassian per tutti gli altri prodotti (Jira, Confluence, Bitbucket, ecc.)

Scarica i report sui bug bounty correnti

Qualsiasi vulnerabilità di sicurezza identificata nei rapporti seguenti viene monitorata internamente in Jira man mano che vengono trasmesse dal processo di controllo Bug Bounty. Gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni del nostro SLO pubblico sulle vulnerabilità di sicurezza.

• Scarica l'ultimo report Bug Bounty di Atlassian (2025-04)
• Scarica l'ultimo report Bug Bounty di Jira Align (2025-04)
• Scarica l'ultimo report Bug Bounty di Opsgenie (2025-04)
• Scarica l'ultimo report Bug Bounty di Statuspage (2025-04)
• Scarica l'ultimo report Bug Bounty di Trello (2025-04)
• Scarica l'ultimo report Bug Bounty di Loom (2025-04)

Scarica i report sui bug bounty annuali

Oltre ai nostri aggiornamenti trimestrali, pubblichiamo anche un rapporto annuale sui nostri programmi Bug Bounty. Questo rapporto offre ai nostri clienti approfondimenti sullo stato di avanzamento del programma e fornisce informazioni dettagliate sui tipi di vulnerabilità che sono state scoperte.

• Scarica l'Atlassian Bug Bounty Report FY23 (luglio 2022 - giugno 2023)

Scarica le lettere di attestazione

Qualsiasi vulnerabilità di sicurezza identificata nei report seguenti viene monitorata internamente in Jira durante il processo di reporting dei test di penetrazione. I risultati di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.

• Lettera di attestazione per Bitbucket Pipelines (05-2022)
• Lettera di attestazione per Atlassian Log4j Library per Confluence e Jira (12-2022)
• Lettera di attestazione per Atlas (04-2023)
• Lettera di attestazione per Atlassian Assist (07-2023)
• Lettera di attestazione per Bitbucket Cloud (2024-02)
• Lettera di attestazione per Jira Work Management (02-2024)
• Lettera di attestazione per Jira Cloud Platform (03-2024)
• Lettera di attestazione per Bamboo Server e Data Center (05-2024)
• Lettera di attestazione per Jira Product Discovery (05-2024)
• Lettera di attestazione per Atlassian Analytics (applicazione web) (06-2024)
• Lettera di attestazione per Atlassian Guard (06-2024)
• Lettera di attestazione per Jira Software Data Center (06-2024)
• Lettera di attestazione per Fisheye & Crucible Server (applicazione web) (07- 2024)
• Lettera di attestazione per Compass (applicazione web) (07-2024)
• Lettera di attestazione per Crowd Server e Data Center (07/2024)
• Lettera di attestazione per SourceTree (09-2024)
• Lettera di attestazione per Bitbucket Server & Data Center (09-2024)
• Lettera di attestazione per Forge (09-2024)
• Lettera di attestazione per Jira Service Management, Opsgenie Cloud e AirTrack (09-2024)
• Lettera di attestazione per Jira Align (09-2024)
• Lettera di attestazione per Forge (10-2024)
• Lettera di attestazione per Atlassian Guard (applicazione web, prima nota come Beacon) (11-2024)
• Lettera di attestazione per Rovo (11-2024)
• Lettera di attestazione per Confluence Cloud (12-2024)
• Lettera di attestazione per Statuspage Cloud (12-2024)
• Lettera di attestazione per Jira Service Management Data Center (12-2024)
• Lettera di attestazione per Trello (02-2025)
• Lettera di attestazione per Atlassian External & Internal Adversary Simulation Assessment (02-2025)
• Lettera di attestazione per Focus (02-2025)
• Lettera di attestazione per Confluence Data Center (02-2025)
• Lettera di attestazione per la pagina iniziale di Atlassian (03-2025)
• Lettera di attestazione per Cloud Migration Platform (03-2025)