Close

セキュリティバグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。


スコープ

以下に、アトラシアン製品のセキュリティバグを解決する方法と時期について説明します。完全な開示またはアトラシアンが実施するアドバイザリープロセスについて説明するものではありません。

セキュリティバグ修正のサービスレベルアグリーメント (SLA)

アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。

  • 重大度レベルが重大のバグ (CVSS v2 スコア 8 以上、CVSS v3 スコア 9 以上) は報告後 4 週間以内に本番環境内で修正
  • 重大度レベルがのバグ (CVSS v2 スコア 6 以上、CVSS v3 スコア 7 以上) は報告後 6 週間以内に本番環境内で修正
  • 重大度レベルがのバグ (CVSS v2 スコア 3 以上、CVSS v3 スコア 4 以上) は報告後 8 週間以内に本番環境内で修正 

重大な脆弱性

アトラシアンまたはサードパーティによって、重大なセキュリティの脆弱性が発見された場合、アトラシアンは次のことをすべて行います。

  • できるだけ早く、影響を受ける製品の現行バージョンの修正済みリリースを発行します。
  • 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。
製品
バックポートポリシー

Jira Software Server および  Data Center

Jira Core Server および Data Center

Jira Service Desk Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x: 7.13 はエンタープライズリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたため
Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。

  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x: 6.13 はエンタープライズリリースであり、6.13.0 が 2018 年 12 月 4 日にリリースされたため
Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • まだサポートを終了していない、「エンタープライズリリース」に指定されたすべてのバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 が修正日の 6 か月以上前の 2019 年 5 月 14 日にリリースされました。6.3.0 がエンタープライズリリースに指定されている場合は、バグ修正リリースも作成されます。

その他の製品 (BambooCrucibleFisheye など) 直前の機能リリースバージョンについてのみ新しいバグ修正リリースを発行します。

たとえば、Bamboo の重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため

お使いの製品バージョンについて、最新のバグ修正リリースを把握することが重要です。たとえば、Jira Software 7.5.0 を使用している場合は Jira Software 7.5.3 に積極的にアップグレードする必要があります。新しいセキュリティバグ修正 (例: Jira Software 7.5.4) がリリースされた場合、2 つのバージョンの差分はわずか (セキュリティ修正のみ) であるため、簡単に適用できます。

重大な脆弱性の解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud のサービスは、常にアトラシアンによって修正され、お客様の追加アクションは不要なためです。

重大度が低い脆弱性

重大度レベルがのセキュリティ問題が発見された場合、アトラシアンは次にスケジュールされたリリースに修正を含めます。この修正は、実行可能な場合はエンタープライズリリースにもバックポートされる可能性があります。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。

FAQ

「エンタープライズリリース」とは何ですか?

エンタープライズリリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Server および Data Center のお客様用のリリースです。一部の製品では特定のバージョンをエンタープライズリリースとして指定しており、この場合、丸 2 年間のセキュリティバグ修正サポートを提供します。

「機能リリース」とは何ですか?

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、エンタープライズリリースに指定されていないバージョン (例: 4.3) を指します。リリースに関する用語の詳細については、「アトラシアンのバグ修正ポリシー」をご覧ください。

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか?

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

Bamboo や Fisheye/Crucible など、その他の製品のバックポート対象が直前の主要なバージョン 1 つのみであるのはなぜですか?

アトラシアンの取り組みは Jira、Confluence、Bitbucket Server に重点を置いていますが、ご要望に応じて Bamboo や Fisheye/Crucible などその他の製品にも拡張し、その他の主要なバージョンを対象に含めることを検討します。