Il nostro approccio ai test di sicurezza esterni

Atlassian adotta un approccio poliedrico alla garanzia esterna della sicurezza dei nostri prodotti. Ci avvaliamo di un modello di test sempre attivo che utilizza un bug bounty in crowdsourcing, accompagnato da regolari test di penetrazione strutturali eseguiti da consulenti esterni e dal nostro team interno dedicato ai test di sicurezza.

La nostra filosofia e il nostro approccio

Atlassian è nota per i suoi valori, che influiscono realmente su tutto ciò che facciamo, incluso il nostro approccio ai test di sicurezza. In pratica, i nostri valori sono alla base della filosofia e degli approcci descritti di seguito:

• I bug sono una parte inevitabile del processo di sviluppo; la domanda da porsi non è se ci sono dei bug, ma in che misura e con quale rapidità riusciamo a trovarli e a risolverli.Questo non significa accettare che i bug esistano o che il nostro operato non sia basato sull'innovazione costante volta a ridurne la frequenza e la gravità, ma che in fatto di bug del software adottare un atteggiamento di negazione del problema non è un approccio vincente.
• Supportiamo e utilizziamo gli standard del settore: la standardizzazione della nostra terminologia e del nostro approccio ci permette di garantire una copertura completa e aiuta i nostri clienti a comprendere il nostro operato.Ad esempio, le classificazioni standard delle vulnerabilità che utilizzano il Common Vulnerability Scoring System (CVSS) offrono un quadro chiaro della gravità di una specifica vulnerabilità a noi e ai nostri clienti. Seguiamo anche i processi di gestione delle vulnerabilità delineati in ISO 27001 e in Cloud Security Alliance (CSA).
• I ricercatori di sicurezza di terze parti e i tester di penetrazione rappresentano una preziosa estensione del nostro team: se un prodotto Atlassian presenta una vulnerabilità, è nell'interesse di tutti, sia nostro che dei nostri clienti, trovarla e risolverla il più rapidamente possibile.
  • Atlassian coinvolge ogni anno tester di penetrazione indipendenti e di terze parti per trovare vulnerabilità di sicurezza nei nostri prodotti e supportare il team di sicurezza interno in caso di incarichi che richiedano competenze altamente specializzate.
  • Inoltre attraverso il programma Bug Bounty, che prevede riconoscimenti in denaro, Atlassian incentiva i ricercatori esterni a individuare le vulnerabilità presenti nei suoi prodotti.Con l'aiuto di ricercatori di sicurezza esterni, possiamo aumentare le dimensioni del nostro team ben oltre gli approcci tradizionali!
• Adottiamo un approccio di apertura e trasparenza verso il nostro programma di test di sicurezza: forniamo lettere di valutazione per i test di penetrazione eseguiti sui nostri prodotti e statistiche sui bug rilevati attraverso il nostro programma Bug Bounty qui di seguito.

Garanzia di sicurezza continua

Esecuzione di test di penetrazione.

Ci rivolgiamo a società specializzate in servizi di sicurezza per completare i test di penetrazione dei nostri prodotti e di altri sistemi.Inoltre, abbiamo un team interno dedicato ai test di sicurezza che collabora con consulenti di terze parti per fornire la garanzia tecnica a progetti ad alta priorità, come una nuova funzionalità del prodotto (ad es. Confluence Whiteboards), una nuova configurazione dell'infrastruttura (ad es. il nostro ambiente FedRAMP) o una ridefinizione dell'architettura (ad es. un nuovo runtime di Forge).

Il nostro approccio ai test di penetrazione in questi casi è altamente mirato. I test saranno:

• strutturali: i tester avranno a disposizione la documentazione di progettazione e i briefing dei nostri tecnici di prodotto, a cui potranno rivolgere eventuali domande durante la collaborazione per ricevere supporto con i test
• Accesso al codice: i tester avranno accesso completo alla base di codice pertinente per diagnosticare qualsiasi comportamento imprevisto del sistema durante i test e per identificare i potenziali obiettivi.
• basati sulle minacce: i test saranno focalizzati su uno specifico scenario di minacce; ad esempio, ipotizzando che esista un'istanza compromessa, eseguiremo test del movimento laterale da quel punto di partenza
• basati sulle metodologie: i tester utilizzano una serie di strategie di test strutturali, personalizzati e basati su metodologie riconosciute dal settore come l'Open Web Application Security Project (OWASP). Ciò garantisce che i test tengano conto delle minacce esclusive dell'infrastruttura e delle tecnologie di Atlassian.

Pubblichiamo lettere di valutazione dei nostri partner che eseguono i test di penetrazione; tali lettere sono disponibili in fondo a questa pagina e possono essere utilizzate esternamente. A causa della vasta quantità di informazioni interne messe a disposizione dei tester nello svolgimento delle valutazioni, non forniamo report completi. La maggior parte di questi sistemi e prodotti sarà inclusa nel programma Bug Bounty pubblico e offriranno una garanzia continua fornita da terzi. I risultati di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.

Bug bounty

Il nostro programma Bug Bounty è ospitato da Bugcrowd. Questo programma garantisce che i nostri prodotti siano costantemente testati per scoprire le vulnerabilità di sicurezza.

Crediamo che l'elevato numero di ricercatori di sicurezza indipendenti che partecipano al nostro programma Bug Bounty offra il più efficace processo di test di sicurezza esterni perché:

• I bug bounty sono sempre disponibili. I test continui sono necessari per un ambiente di sviluppo veramente agile con rilasci frequenti.
• Un bug bounty ha oltre 60.000 potenziali ricercatori. Ciò fornisce un'elevata capacità aggregata di competenze di ricerca per eseguire controlli tecnici.
• I ricercatori di bug bounty sviluppano strumenti specializzati e agiscono sia verticalmente, cercando tipi di bug specifici, sia orizzontalmente valutandone l'entità. Questa specializzazione offre la più ampia possibilità di identificare vulnerabilità non note, ma significative.

Oltre 25 dei nostri prodotti o ambienti, che spaziano dai prodotti server alle app mobili fino ai prodotti cloud, sono inclusi nell'ambito del programma Bug Bounty. Le informazioni dettagliate sul numero di vulnerabilità segnalate, sul nostro tempo medio di risposta e sul pagamento medio sono riportate sul sito Bugcrowd, dove operano oltre 2.800 ricercatori registrati appositamente per il nostro programma.

Attraverso il nostro programma Bug Bounty vogliamo identificare i tipi più comuni di vulnerabilità indicati negli elenchi di minacce Open Web Application Security Project (OWASP) e Web Application Security Consortium (WASC),

Nell'ambito della nostra iniziativa di apertura e trasparenza, invitiamo tutti gli utenti a visitare la pagina del nostro programma Bug Bounty, a iscriversi e a condurre test per noi.

App nel Marketplace

Tuttavia, le app Marketplace sono coperte da programmi Bug Bounty a parte con hosting di Atlassian, come il Vulnerability Disclosure Program e il programma Bug Bounty per le app di Atlassian.

Test eseguiti autonomamente dai clienti

Consentiamo test eseguiti dai clienti in linea con i nostri Termini di utilizzo per i nostri prodotti cloud. Abbiamo assunto un impegno in termini di trasparenza e continueremo a pubblicare regolarmente le statistiche del nostro programma Bug Bounty.

I nostri programmi Bug Bounty offrono un approccio più efficiente ed economico per valutare la sicurezza dei prodotti e servizi che offriamo; tuttavia, comprendiamo la tua esigenza di volerne testare la sicurezza autonomamente. Consentiamo ai clienti di condurre valutazioni di sicurezza (test di penetrazione, valutazioni delle vulnerabilità), ma chiediamo che, a tale scopo, vengano seguite alcune regole che tutelino la sicurezza di tutti.

Report sulle informazioni di vulnerabilità

Se rilevi un problema che desideri portare all'attenzione di Atlassian, segui le istruzioni su come segnalare una vulnerabilità.

Qui in Atlassian, uno dei nostri valori fondamentali è "Promuovi un'azienda aperta, non solo a parole" e pensiamo che la divulgazione delle vulnerabilità sia parte di questo valore. Il nostro obiettivo è correggere le vulnerabilità della sicurezza all'interno degli obiettivi a livello di servizio (SLO) pertinenti. Accettiamo le richieste di divulgazione effettuate attraverso i nostri programmi Bug Bounty dopo che un problema è stato risolto e rilasciato in produzione. Tuttavia, la richiesta verrà rifiutata se il report contiene dati del cliente. Se hai intenzione di divulgare le vulnerabilità al di fuori dei nostri programmi Bug Bounty, ti chiediamo di darci un ragionevole preavviso e di attendere che l'SLO associato sia passato.

Esclusioni dal nostro programma di test di sicurezza

Il nostro approccio di apertura e trasparenza non si applica solo ai test che conduciamo, ma anche a quelli che non eseguiamo internamente o che al momento non supportiamo. Alcuni tipi di vulnerabilità a basso rischio, come l'enumerazione e la raccolta di informazioni, non sono generalmente considerati rischi significativi.

I nostri strumenti di misurazione

La nostra policy di correzione dei bug di sicurezza definisce le tempistiche degli obiettivi a livello di servizio (SLO) per la risoluzione delle vulnerabilità, in base al livello di gravità e al prodotto. Nella valutazione delle vulnerabilità, utilizziamo il Common Vulnerability Scoring System, che aiuta a comunicare la gravità delle vulnerabilità ai nostri clienti.

In sintesi

Il programma Bug Bounty in crowdsourcing di Atlassian, le consulenze esterne e il nostro team interno dedicato ai test di sicurezza costituiscono un modello completo, maturo e trasparente. Ciò garantisce che i nostri prodotti e le nostre piattaforme siano costantemente testati e protetti, fornendo una garanzia continua ai clienti.

Desideri approfondire l'argomento?

In questo documento di brief abbiamo fatto riferimento a molti altri documenti e risorse e ti invitiamo esaminarli più in dettaglio se vuoi sapere di più sul nostro approccio ai test di sicurezza.

• Atlassian Trust Center
• Pratiche di sicurezza di Atlassian
• CSA STAR di Atlassian
• Policy sulla correzione dei bug di Atlassian
• Pagina dei report sulle vulnerabilità di Atlassian
• Responsabilità degli imprevisti di sicurezza Atlassian
• Home page del programma Bug Bounty di Atlassian
• Programmi Bug Bounty di Atlassian
  • Bug Bounty di app Marketplace sviluppate da Atlassian
  • Bug Bounty di app Marketplace sviluppate da fornitori di terze parti
  • Bug Bounty di Opsgenie
  • Bug Bounty di Statuspage
  • Bug Bounty di Trello
  • Bug Bounty di Halp
  • Bug Bounty di Atlassian per tutti gli altri prodotti (Jira, Confluence, Bitbucket, ecc.)

Scarica i report sui bug bounty correnti

Qualsiasi vulnerabilità di sicurezza identificata nei rapporti seguenti viene monitorata internamente in Jira man mano che vengono trasmesse dal processo di controllo Bug Bounty. Gli eventuali rilievi di queste valutazioni saranno esaminati e corretti in conformità alle disposizioni del nostro SLO pubblico sulle vulnerabilità di sicurezza.

• Scarica l'ultimo report sui bug bounty di Atlassian (ottobre 2023)
• Scarica l'ultimo report sui bug bounty di Halp (ottobre 2023)
• Scarica l'ultimo report sui bug bounty di Jira Align (ottobre 2023)
• Scarica l'ultimo report sui bug bounty di Opsgenie (ottobre 2023)
• Scarica l'ultimo report sui bug bounty di Statuspage (ottobre 2023)
• Scarica l'ultimo report sui bug bounty di Trello (ottobre 2023)

Scarica le lettere di valutazione

Qualsiasi vulnerabilità di sicurezza identificata nei report seguenti viene monitorata internamente in Jira durante il processo di reporting dei test di penetrazione. I risultati di queste valutazioni saranno esaminati e risolti in base a quanto previsto dal nostro SLO pubblico sulle vulnerabilità di sicurezza.

• Lettera di valutazione per Bitbucket Pipelines (2022-05)
• Lettera di valutazione per Trello (2022-08)
• Lettera di valutazione per Confluence Cloud (2022-10)
• Lettera di valutazione per Jira Service Management Data Center (2022-10)
• Lettera di valutazione di OAuth Google per Jira Cloud (2022-10)
• Lettera di valutazione per Atlassian Log4j Library per Confluence e Jira (2022-12)
• Lettera di valutazione per Jira Work Management Cloud (2022-12)
• Lettera di valutazione per Bitbucket Cloud (2022-12)
• Lettera di valutazione per Statuspage Cloud (2022-12)
• Lettera di valutazione per Jira Software (Cloud) (2023-02)
• Lettera di valutazione per Bamboo (2023-02)
• Lettera di valutazione per Jira Product Discovery (2023-03)
• Lettera di valutazione per Atlas (2023-04)
• Lettera di valutazione per la piattaforma di visualizzazione Atlassian Analytics (05-2023)
• Lettera di valutazione per Confluence Server e Data Center (05-2023)
• Lettera di valutazione per Fisheye & Crucible Server & Data Center (2023-05)
• Lettera di valutazione per Jira Server e Data Center (05/2023)
• Lettera di valutazione per Compass Cloud (2023-05)
• Lettera di valutazione per Jira Align (2023-06)
• Lettera di valutazione per Atlassian Access (2023-06)
• Lettera di valutazione per Crowd Server e Data Center (06/2023)
• Lettera di valutazione per Atlassian Assist (2023-07)
• Lettera di valutazione per Bitbucket Server e DC (2023-07)
• Lettera di valutazione per SourceTree (2023-08)
• Lettera di valutazione per Jira Service Management e Opsgenie Cloud (2023-09)
• Lettera di valutazione per Beacon (applicazione web) (2023-09)