Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua
Prodotti
Per team
Assistenza
Provalo ora
Acquista ora
Search Toggle menu
Close search

In primo piano

Jira Software

Monitoraggio progetti e problemi

Confluence

Collaborazione sui contenuti

Jira Service Management

ITSM high velocity

Trello

Gestione visiva dei progetti

Vedi tutti i prodotti

Nuovi prodotti di Point A

Innovazioni di Atlassian

Vedi tutti

Atlas

Directory per il lavoro in team

Compass

Piattaforma di condivisione delle esperienze per gli sviluppatori

Marketplace

Connetti migliaia di app per tutti i tuoi prodotti Atlassian

Close dropdown

Per dimensione team

Startup

Ottimo per le startup, dai primi passi fino all'IPO (offerta pubblica iniziale)

Piccole imprese

Ottieni gli strumenti adatti per la tua azienda in crescita

Enterprise

Scopri come assicuriamo il successo ai grandi team

Per funzione team

Software

Pianifica, crea e fornisci prodotti di qualità

Marketing

Definisci una strategia vincente

Risorse umane

Semplifica la gestione degli utenti

Legale

Opera in sicurezza e in modo affidabile

Government

Efficient, secure, mission focused

Operazioni

Gestisci la tua azienda con efficienza

IT

Offri servizio e supporto ottimi

Finanza

Semplifica tutti i processi finanziari

Risposta agli imprevisti

Rispondi, risolvi e impara dagli imprevisti

Vedi tutti i prodotti
Close dropdown

Risorse

Documentazione

Guide a tutti i nostri prodotti

Atlassian Migration Program

Strumenti e consigli per la migrazione

Roadmap per Cloud

Prossimi rilasci di funzionalità

Acquisto e licenza

FAQ sulle policy

Servizi di supporto

Servizi aziendali

Supporto personalizzato per team di grandi dimensioni

Supporto dei partner

Consulenti attendibili di terze parti

Supporto Atlassian

Un hub di risorse per team e amministratori

Impara e connettiti

Su di noi

La nostra mission e la nostra storia

Posizioni

Offerte di lavoro, valori e molto altro

Atlassian University

Formazione e certificazioni per tutti i livelli di competenza

Community Atlassian

Un forum per stabilire nuove connessioni, condividere e apprendere

Close dropdown

Il nostro approccio ai test di sicurezza esterni

I clienti chiedono regolarmente report sui test di penetrazione ad Atlassian per avere la certezza che i processi implementati consentano di identificare, e correggere, le vulnerabilità della sicurezza nei prodotti Atlassian e Cloud. Il nostro approccio ai test di sicurezza esterni si basa sul concetto di "verifica continua": invece di condurre un singolo test di penetrazione, ci avvaliamo di un modello di test sempre attivo che utilizza un bug bounty in crowdsourcing.

La nostra filosofia e il nostro approccio

Atlassian è nota per i suoi valori, che influiscono realmente su tutto ciò che facciamo, incluso il nostro approccio ai test di sicurezza. In pratica, i nostri valori sono alla base della filosofia e degli approcci descritti di seguito:

  • I bug sono una parte inevitabile del processo di sviluppo; la domanda da porsi non è se ci sono dei bug, ma in che misura e con quale rapidità riusciamo a trovarli e a risolverli. Questo non significa accettare che i bug esistano o che il nostro operato non sia basato sull'innovazione costante volta a ridurne la frequenza e la gravità, ma che in fatto di bug del software adottare un atteggiamento di negazione del problema non è un approccio vincente.
  • Il nostro obiettivo è aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti e servizi: attraverso l'identificazione e la risoluzione rapida dei problemi, puntiamo ad aumentare il costo economico dell'individuazione dei bug di sicurezza. Aumentando i costi che lo sfruttamento di una vulnerabilità comporta per gli aggressori, in termini di tempi più lunghi e di necessità di maggiori conoscenze e risorse, riduciamo il loro ritorno sull'investimento. Se riusciamo a ridurlo a sufficienza, lo sfruttamento diventa per loro proibitivo in termini di costi o di scarso interesse.
  • Supportiamo e utilizziamo gli standard del settore: la standardizzazione della nostra terminologia e del nostro approccio ci permette di garantire una copertura completa e aiuta i nostri clienti a comprendere il nostro operato. Ad esempio, le classificazioni comuni delle vulnerabilità che utilizzano il Common Vulnerability Scoring System (CVSS) offre un quadro chiaro della gravità di una specifica vulnerabilità a noi e ai nostri clienti. Seguiamo anche i processi di gestione delle vulnerabilità delineati in ISO 27001 e in Cloud Security Alliance (CSA).
  • I ricercatori di sicurezza esterni rappresentano una preziosa estensione del nostro team: se un prodotto Atlassian presenta una vulnerabilità, è nell'interesse di tutti, sia nostro che dei nostri clienti, trovarla e risolverla il più rapidamente possibile. Attraverso il programma Bug Bounty, che prevede riconoscimenti in denaro, Atlassian incentiva i ricercatori esterni a individuare le vulnerabilità presenti nei suoi prodotti. Con l'aiuto di ricercatori di sicurezza esterni, possiamo aumentare le dimensioni del nostro team ben oltre gli approcci tradizionali!
  • Adottiamo un approccio aperto e trasparente riguardo al programma di test di sicurezza: con il nostro programma Bug Bounty forniamo statistiche sui bug trovati, offriamo informazioni chiare sulla tempistica di correzione dei bug di sicurezza e, quando possibile, rendiamo disponibili report di riepilogo dei test in fondo a questa pagina.

Garanzia di sicurezza continua

Esecuzione di test di penetrazione.

Ci avvaliamo di società di consulenza specializzate in sicurezza per condurre test di penetrazione su prodotti e infrastruttura ad alto rischio. Potrebbe trattarsi di una nuova infrastruttura configurata per noi (ad es. il nostro ambiente Cloud), di un nuovo prodotto (ad es. Trello) o di una ridefinizione fondamentale dell'architettura (ad esempio l'uso estensivo di microservizi).

Il nostro approccio ai test di penetrazione in questi casi è altamente mirato. I test saranno generalmente:

  • Test strutturali: ai tester verrà fornita la documentazione di progettazione e i briefing dei nostri tecnici di prodotto a supporto dei test da eseguire.
  • Accesso al codice: i tester avranno accesso completo alla base di codice pertinente per diagnosticare qualsiasi comportamento imprevisto del sistema durante i test e per identificare i potenziali obiettivi.
  • Basati sulle minacce: i test saranno focalizzati su uno specifico scenario di minacce; ad esempio, ipotizzando che esista un'istanza compromessa, eseguiremo test del movimento laterale da quel punto di partenza.

Pubblichiamo lettere di valutazione dei nostri partner che eseguono i test di penetrazione; tali lettere sono disponibili in fondo a questa pagina e possono essere utilizzate esternamente. A causa della vasta quantità di informazioni interne messe a disposizione dei tester nello svolgimento delle valutazioni, non forniamo report completi. La maggior parte di questi sistemi e prodotti sarà inclusa successivamente nel programma Bug Bounty pubblico e offriranno quella garanzia continua fornita da terzi richiesta dai nostri clienti. I risultati di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.

Bug bounty

Il nostro programma Bug Bounty è ospitato da Bugcrowd. L'obiettivo del programma è garantire che i nostri prodotti siano costantemente testati per scoprire le vulnerabilità della sicurezza. È questo il fulcro del nostro programma di test di sicurezza esterni ed è il risultato di importanti ricerche, analisi e confronto tra modelli di test.

Crediamo che l'elevato numero di ricercatori di sicurezza indipendenti che partecipano al nostro programma Bug Bounty offra il più efficace processo di test di sicurezza esterni perché:

  1. I bug bounty sono sempre disponibili. I test di penetrazione hanno in genere una durata limitata a poche settimane. In un ambiente di sviluppo veramente agile con rilasci frequenti, i test continui sono una necessità.
  2. Un bug bounty ha 60.000 potenziali tester. I test vengono generalmente condotti da 1 o 2 persone che, per quanto competenti, non potranno mai superare la capacità aggregata del team di partecipanti al bug bounty.
  3. I ricercatori di bug bounty sviluppano strumenti specializzati e agiscono sia verticalmente, cercando tipi di bug specifici, sia orizzontalmente valutandone l'entità. Questa specializzazione offre la più ampia possibilità di identificare vulnerabilità non note, ma significative.

Per l'assistenza interna continuiamo a utilizzare test di penetrazione e consulenti specializzati in materia di sicurezza, ma per il nostro programma esterno, caratterizzato da una copertura più ampia, un bug bounty è più indicato. Siamo convinti che la combinazione di approcci massimizzi le nostre possibilità di trovare le vulnerabilità.

Oltre 25 dei nostri prodotti o ambienti, che spaziano dai prodotti Server alle app mobili fino ai prodotti Cloud, sono inclusi nell'ambito del programma Bug Bounty. Le informazioni dettagliate sul numero di vulnerabilità segnalate, sul nostro tempo medio di risposta e sul pagamento medio sono riportate sul sito Bugcrowd, dove operano oltre 800 tester registrati appositamente per il nostro programma.

Attraverso il nostro programma Bug Bounty vogliamo identificare i tipi più comuni di vulnerabilità indicati negli elenchi di minacce Open Web Application Security Project (OWASP) e Web Application Security Consortium (WASC), tra cui:

  • Accesso/perdita di dati comuni a più istanze.
  • Remote Code Consecutio (RCE)
  • Server-Side Request Forgery (SSRF).
  • Cross-site Scripting (XSS).
  • Cross-site Request Forgery (CSRF).
  • SQL Injection (SQLi).
  • Attacchi XML External Entity (XXE).
  • Vulnerabilità del controllo dell'accesso (problemi di riferimenti a oggetti diretti non sicuri e così via).
  • Problemi di tipo Path/Directory Traversal.

Nell'ambito della nostra iniziativa di apertura e trasparenza, invitiamo tutti gli utenti a visitare la pagina del nostro programma Bug Bounty, a iscriversi e a condurre test per noi.

App Marketplace - Le app Marketplace sono escluse dal programma Bug Bounty principale di Atlassian. Tuttavia, le app Marketplace sono coperte da programmi Bug Bounty a parte ospitati da Atlassian, come il Vulnerability Disclosure Program e il programma Bug Bounty per le app di Atlassian.

Test eseguiti autonomamente dai clienti - In linea con i nostri Termini di utilizzo per i nostri prodotti Cloud, ora consentiamo ai clienti di eseguire test autonomamente. Abbiamo assunto un impegno in termini di trasparenza e continueremo a pubblicare regolarmente le statistiche del nostro programma Bug Bounty.

I nostri programmi Bug Bounty offrono un approccio più efficiente ed economico per valutare la sicurezza dei prodotti e servizi che offriamo; tuttavia, comprendiamo la tua esigenza di volerne testare la sicurezza autonomamente. Consentiamo ai clienti di condurre valutazioni di sicurezza (test di penetrazione, valutazioni delle vulnerabilità), ma chiediamo che, a tale scopo, vengano seguite alcune regole che tutelino la sicurezza di tutti.

Report sulle informazioni di vulnerabilità

Se rilevi un problema che desideri portare all'attenzione di Atlassian, segui le istruzioni su come segnalare una vulnerabilità.

Qui in Atlassian, uno dei nostri valori fondamentali è "Promuovi un'azienda aperta, non solo a parole" e pensiamo che la divulgazione delle vulnerabilità sia parte di questo valore. Il nostro obiettivo è correggere le vulnerabilità della sicurezza all'interno degli obiettivi a livello di servizio (SLO) pertinenti. Accettiamo le richieste di divulgazione effettuate attraverso i nostri programmi Bug Bounty dopo che un problema è stato risolto e rilasciato in produzione. Tuttavia, se il report contiene dati sui clienti, la richiesta viene rifiutata. Se hai intenzione di divulgare le vulnerabilità al di fuori dei nostri programmi Bug Bounty, ti chiediamo di darci un ragionevole preavviso e di attendere che l'SLO associato sia passato.

Esclusioni dal nostro programma di test di sicurezza

Il nostro approccio di apertura e trasparenza non si applica solo ai test che conduciamo, ma anche a quelli che non eseguiamo o che al momento non supportiamo. Sono esclusi dal nostro programma di test di sicurezza:

Alcuni tipi di vulnerabilità a basso rischio: i nostri prodotti sono sviluppati per liberare il potenziale di ogni team e questo richiede collaborazione. Le vulnerabilità legate all'enumerazione e alla raccolta di informazioni non sono generalmente considerate rischi significativi.

I nostri strumenti di misurazione

Disponiamo di una policy di correzione dei bug di sicurezza che definisce le tempistiche dell'obiettivo a livello di servizio (SLO) per la risoluzione delle vulnerabilità, in base al livello di gravità e al prodotto. Nella valutazione delle vulnerabilità, utilizziamo il Common Vulnerability Scoring System, che aiuta a comunicare la gravità delle vulnerabilità ai nostri clienti.

Inoltre, il nostro obiettivo è quello di aumentare i costi di ricerca e sfruttamento delle vulnerabilità nei nostri prodotti. Ci avvaliamo dei programmi Bug Bounty per quantificare tale costo. Con il progressivo miglioramento della nostra condizione di sicurezza, il numero di bug identificati tramite i nostri programmi Bug Bounty dovrebbe diminuire e, man mano che ciò avviene, dovremo aumentare l'importo che siamo disposti a pagare per il rilevamento di tali bug se vogliamo continuare a ricevere i report. Per esempio, se l'impegno necessario per trovare una vulnerabilità premiata con una ricompensa di 3.000 $ comporta in realtà un lavoro quantificabile in un importo superiore a 3.000 $, l'attività non sarà più interessante agli occhi dei ricercatori e dovremo necessariamente remunerarla con un importo maggiore e quindi il costo per individuare la vulnerabilità aumenterà.

In altre parole, le ricompense bounty aumenteranno nel corso del tempo.

In sintesi

Atlassian offre un programma di test di sicurezza esterno maturo, aperto e trasparente basato sul sistema di bug bounty.

Desideri approfondire l'argomento?

In questo documento di brief abbiamo fatto riferimento a molti altri documenti e risorse e ti invitiamo esaminarli più in dettaglio se vuoi sapere di più sul nostro approccio ai test di sicurezza.

Scarica i report sui bug bounty correnti

Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira man mano che vengono trasmesse dal processo di controllo Bug Bounty e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLO pubblico sulle vulnerabilità della sicurezza.

Scarica le lettere di valutazione

Le vulnerabilità della sicurezza identificate nei report seguenti vengono monitorate internamente in Jira durante il processo di reporting dei test di penetrazione e gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni dello SLO pubblico sulle vulnerabilità della sicurezza.