セキュリティバグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。


スコープ

以下に、アトラシアン製品のセキュリティバグを解決するための方法と時期についてご説明します。当社が実施する完全な開示または勧告プロセスについてご説明するものではありません。

セキュリティバグ修正のサービスレベル目標 (SLO)

アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。

早期解決期間

この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。

  • 脅威レベルが重大である製品のバグ (CVSS v2 スコア 8 以上、CVSS v3 スコア 9 以上) は報告後 2 週間以内に修正。
  • 脅威レベルがである製品のバグ (CVSS v2 スコア 6 以上、CVSS v3 スコア 7 以上) は報告後 4 週間以内に修正。
  • 脅威レベルがである製品のバグ (CVSS v2スコア 3 以上、CVSS v3 スコア 4 以上) は報告後 6 週間以内に修正。
  • 脅威レベルがである製品のバグ (CVSS v2 スコア 3 未満、CVSS v3 スコア 4 未満) は報告後 25 週間以内に修正。

延長解決期間

この期間はすべての自社管理のアトラシアン製品、および Jira Align (クラウドと自社管理バージョンの両方) に適用されます。自社管理製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンのサーバー、データセンター、デスクトップ、モバイルアプリケーションを含みます。

  • 脅威レベルが重大である製品のバグ (CVSS v2 スコア 3 以上、CVSS v3 スコア 4 以上) は報告後 90 日以内に修正。
  • 脅威レベルがである製品のバグ (CVSS v2 スコア 3 未満、CVSS v3 スコア 4 未満) は報告後 180 日以内に修正。

重大な脆弱性

重大なセキュリティ脆弱性をアトラシアンが発見した、またはサードパーティから報告された場合、アトラシアンは次のことをすべて行います。

  • できる限り早急に、影響を受ける製品の現行バージョンの新しい修正済みリリースを発行します。
  • 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。

製品
バックポートポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Desk Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x。7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。

Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x。6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。

Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。

他のすべての製品 (BambooCrucibleFisheye など)

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため
製品

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Desk Server および Data Center

バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x。7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。
製品

Confluence Server および Data Center

バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x。6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。
製品

Bitbucket Server および Data Center

バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。

製品

他のすべての製品 (BambooCrucibleFisheye など)

バックポートポリシー

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため

お使いの製品バージョンについて常に最新のバグ修正リリースを入手していただくことが重要です (これがベストプラクティスです)。たとえば、Jira Software 7.5.0 をお使いの場合、Jira Software 7.5.3 に積極的にアップグレードする必要があります。Jira Software 7.5.4 などの新しいセキュリティバグ修正版がリリースされた場合、この 2 つのバージョンの差分はわずか (セキュリティ修正のみ等) であるため、適用がより簡単になります。

重大な脆弱性解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud サービスは常にアトラシアンによって修正されるため、お客様からの他の操作は不要です。

緊急度の低い脆弱性

重大度レベルが高、中、低のセキュリティ問題が発見された場合、アトラシアンは次にスケジュールされたリリースに修正を含めます。この修正は、実行可能な場合は長期リリースにもバックポートされる可能性があります。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。

FAQ

「長期サポートリリース」とは何ですか? 詳細を表示 +
  

長期サポートリリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Server および Data Center のお客様用のリリースです。一部の製品では特定のバージョンを長期サポートリリースとして指定しており、この場合、丸 2 年間のセキュリティバグ修正サポートを提供します。

「機能リリース」とは何ですか? 詳細を表示 +
  

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、長期サポートリリースに指定されていないバージョン (例: 4.3) を指します。リリースに関する用語の詳細については、「アトラシアンのバグ修正ポリシー」をご覧ください。

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? 詳細を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

Bamboo や Fisheye/Crucible など、その他の製品のバックポート対象が直前の主要なバージョン 1 つのみであるのはなぜですか? 詳細を表示 +
  

アトラシアンの取り組みは Jira、Confluence、Bitbucket Server に重点を置いていますが、ご要望に応じて Bamboo や Fisheye/Crucible などその他の製品にも拡張し、その他の主要なバージョンを対象に含めることを検討します。