Close

セキュリティバグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。


スコープ

The following describes how and when we resolve security bugs in our products. It does not describe the complete disclosure or advisory process that we follow.

セキュリティバグ修正のサービスレベルアグリーメント (SLA)

アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。

  • 重大度レベルが重大 のバグ (CVSS v2 スコア 8 以上、CVSS v3 スコア 9 以上) は、報告後 4 週間以内に本番環境内で修正
  • 重大度レベルがのバグ (CVSS v2 スコア 6 以上、CVSS v3 スコア 7 以上) は、報告後 6 週間以内に本番環境内で修正
  • 重大度レベルがのバグ (CVSS v2 スコア 3 以上、CVSS v3 スコア 4 以上) は、報告後 8 週間以内に本番環境内で修正
     

重大な脆弱性

アトラシアンまたはサードパーティによって、重大なセキュリティの脆弱性が発見された場合、アトラシアンは次のことをすべて行います。

  • できるだけ早く、影響を受ける製品の現行バージョンの修正済みリリースを発行します。
  • 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。
     

 

製品
バックポートポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Desk Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x: 7.13 はエンタープライズリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたため

Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x: 6.13 はエンタープライズリリースであり、6.13.0 が 2018 年 12 月 4 日にリリースされたため

Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 が修正日の 6 か月以上前の 2019 年 5 月 14 日にリリースされました。6.3.0 がエンタープライズリリースに指定されている場合は、バグ修正リリースも作成されます。

その他の製品 (BambooCrucibleFisheye など)

直前の機能リリースバージョンについてのみ新しいバグ修正リリースを発行します。

たとえば、Bamboo の重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため
Product

Jira Software Server and Data Center

Jira Core Server and Data Center

Jira Service Desk Server and Data Center

Back port policy

Issue new bug fix releases for:

  • Any versions designated an 'Enterprise release' that have not reached end of life.
  • All feature versions released within 6 months of the date the fix is released.
Example

For example, if a critical security bug fix is developed on 1 January 2020, the following new bug fix releases would need to be produced:

  • Jira 8.6.x because 8.6.0 was released on 17 December 2019
  • Jira 8.5.x because 8.5.0 was released on 21 October 2019
  • Jira 8.4.x because 8.4.0 was released on 9 September 2019
  • Jira 8.3.x because 8.3.0 was released on 22 July 2019
  • Jira 7.13.x because 7.13 is an Enterprise release, and 7.13.0 was released on 28 November 2018
製品

Confluence Server および Data Center

バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x: 6.13 はエンタープライズリリースであり、6.13.0 が 2018 年 12 月 4 日にリリースされたため
製品

Bitbucket Server および Data Center

バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正リリースを 6 か月以上経過した 2019 年 5 月 14 日にリリースされています。これがエンタープライズリリースの場合は、バグ修正リリースも作成する必要があります。

Product

All other products (BambooCrucibleFisheye, etc)

Back port policy

We will only issue new bug fix releases for the current and previous feature release version.

Example

For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:

  • Bamboo 6.10.x because it was released on 17 September 2019 and is the current release
  • Bamboo 6.9.x because 6.9.0 is the previous release

It is important to stay on the latest bug fix release for the version of the product you are using (this is best practice). For example if you are on Jira Software 7.5.0, you should upgrade to Jira Software 7.5.3 proactively. If a new security bug fix is released, e.g. Jira Software 7.5.4, the delta between the two versions is minimal (i.e. only the security fix), making it easier to apply. 

The critical vulnerabilities resolution process does not apply to our Atlassian Cloud products as these services are always fixed by Atlassian without any additional action from customers.

緊急度の低い脆弱性

重大度レベルがのセキュリティ問題が発見された場合、アトラシアンは次にスケジュールされたリリースに修正を含めます。この修正は、実行可能な場合はエンタープライズリリースにもバックポートされる可能性があります。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。

FAQ

「エンタープライズリリース」とは何ですか? 詳細を表示 +
  

エンタープライズリリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Server および Data Center のお客様用のリリースです。一部の製品では特定のバージョンをエンタープライズリリースとして指定しており、この場合、丸 2 年間のセキュリティバグ修正サポートを提供します。

「機能リリース」とは何ですか? 詳細を表示 +
  

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、エンタープライズリリースに指定されていないバージョン (例: 4.3) を指します。リリースに関する用語の詳細については、「アトラシアンのバグ修正ポリシー」をご覧ください。

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? 詳細を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

Bamboo や Fisheye/Crucible など、その他の製品のバックポート対象が直前の主要なバージョン 1 つのみであるのはなぜですか? 詳細を表示 +
  

アトラシアンの取り組みは Jira、Confluence、Bitbucket Server に重点を置いていますが、ご要望に応じて Bamboo や Fisheye/Crucible などその他の製品にも拡張し、その他の主要なバージョンを対象に含めることを検討します。