Close
あなたの言語でこのページを表示しますか?
すべての言語
言語を選択する
製品

注目

Jira Software

プロジェクト / 課題管理

Confluence

コンテンツ共有

Jira Service Management

ベロシティの高い ITSM

Trello

プロジェクト管理を可視化

全製品を見る

Marketplace

ご利用のすべてのアトラシアン製品と数千ものアプリや統合を連携させる

Close dropdown
ソリューション

注目

ワーク マネジメント

プロジェクトを管理し、すべてのチームが同じ目標達成に向けて連携し、成果物を達成する

IT サービス管理

開発、IT 運用、ビジネスの各チームによる優れたサービスの迅速な提供を実現する

アジャイルと DevOps

ディスカバリーからデリバリーや運用に至るまで、世界レベルのアジャイル ソフトウェア組織を運営する

チーム規模別

Enterprise

小規模ビジネス

スタートアップ

非営利団体

チーム機能別

ソフトウェア開発

IT

ファイナンス

マーケティング

人事

業界別

小売業

電気通信

専門サービス

政府

Close dropdown
リソース

学ぶ

Atlassian University

アトラシアン プレイブック

製品ドキュメント

開発者向けリソース

サポート

アトラシアン コミュニティ

アトラシアン サポート

Atlassian Migration Program

エンタープライズ サービス

パートナー サポート

購入とライセンス

接続

アトラシアンについて

アトラシアンで働く

アトラシアン ブログ

イベント

Server 製品のサポートは 2024 年 2 月 15 日に終了します。

サーバー製品のサポート終了が間近に迫っている今、Atlassian Migration Program により、クラウド移行を成功させる計画を立てましょう。

自分のオプションを評価する

Close dropdown
Search
今すぐ試す
Toggle menu
Close search

セキュリティバグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。

スコープ

以下に、アトラシアン製品のセキュリティバグを解決するための方法と時期についてご説明します。当社が実施する完全な開示または勧告プロセスについてご説明するものではありません。

セキュリティバグ修正のサービスレベル目標 (SLO)

アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。

早期解決期間

この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス バージョンの両方) にも適用されます。

  • 脅威レベルが重大である製品のバグは検証後 2 週間以内に修正
  • 脅威レベルがである製品のバグは検証後 4 週間以内に修正
  • 脅威レベルがである製品のバグは検証後 6 週間以内に修正
  • 脅威レベルがである製品のバグは検証後 25 週間以内に修正

延長解決期間

この期間はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンのサーバー、データ センター、デスクトップ、モバイル アプリケーションを含みます。

  • 脅威レベルが重大である製品のバグは検証後 90 日以内に修正
  • 脅威レベルがである製品のバグは検証後 180 日以内に修正

重大な脆弱性

重大なセキュリティ脆弱性をアトラシアンが発見した、またはサードパーティから報告された場合、アトラシアンは次のことをすべて行います。

  • できる限り早急に、影響を受ける製品の現行バージョンの新しい修正済みリリースを発行します。
  • 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。

製品
バックポートポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Management Server および Data Center (旧称 Jira Service Desk)

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x。7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。

Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x。6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。

Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。

他のすべての製品 (BambooCrucibleFisheye など)

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため

製品
バックポートポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Management Server および Data Center (旧称 Jira Service Desk)

Confluence Server および Data Center

Bitbucket Server および Data Center

Bamboo Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

重大なセキュリティ バグの修正が 2020 年 1 月 1 日 に発表された場合に、バグ修正を受けるリリースの例を以下に示します。

  • Jira 8.6.x: 8.6.0 が 2019/12/17 にリリースされたため
  • Confluence 6.13.x: 6.13 は長期サポート リリースであり、6.13.0 が 2018/12/4 にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019/10/01 にリリースされたため
  • Bamboo 6.10.x: 6.10.2 が 2019 年 9 月 17 日にリリースされたため

以下は、新しいバグ修正のリリースを受け取らないリリースの例です。

  • Jira 7.6.x: 7.6.0 は長期サポート リリースであり、7.6.0 が 2017/11/16 にリリースされたため
  • Confluence 6.14.x: 6.14.0 が 2019/01/22 にリリースされたため
  • Bitbucket 6.3.x: 6.3.0 が 2019/05/14 にリリースされたため
  • Bamboo 6.9.x: 6.9.0 が 2019 年 5 月 23 日にリリースされたため

他のすべての製品 (CrucibleFisheye など)

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Crowd について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Crowd 3.7.x: これが 2019 年 10 月 3 日にリリースされ、現行リリースであるため
  • Crowd 3.6.x: これが直前のリリースであるため
製品

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Desk Server および Data Center
バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x。7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。
製品

Confluence Server および Data Center
バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x。6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。
製品

Bitbucket Server および Data Center
バックポートポリシー

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。
製品

他のすべての製品 (BambooCrucibleFisheye など)
バックポートポリシー

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため

お使いの製品バージョンについて常に最新のバグ修正リリースを入手していただくことが重要です (これがベストプラクティスです)。たとえば、Jira Software 7.5.0 をお使いの場合、Jira Software 7.5.3 に積極的にアップグレードする必要があります。Jira Software 7.5.4 などの新しいセキュリティバグ修正版がリリースされた場合、この 2 つのバージョンの差分はわずか (セキュリティ修正のみ等) であるため、適用がより簡単になります。

重大な脆弱性解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud サービスは常にアトラシアンによって修正されるため、お客様からの他の操作は不要です。

緊急度の低い脆弱性

重大度レベルが高、中、低のセキュリティ問題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期リリースにもバックポートされる可能性があります。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。

FAQ

「長期サポートリリース」とは何ですか? Copy link to heading Copied! 回答を表示 +
  

長期サポートリリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Server および Data Center のお客様用のリリースです。一部の製品では特定のバージョンを長期サポートリリースとして指定しており、この場合、丸 2 年間のセキュリティバグ修正サポートを提供します。
「機能リリース」とは何ですか? Copy link to heading Copied! 回答を表示 +
  

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、長期サポートリリースに指定されていないバージョン (例: 4.3) を指します。リリースに関する用語の詳細については、「アトラシアンのバグ修正ポリシー」をご覧ください。
Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? Copy link to heading Copied! 回答を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。
Bamboo や Fisheye/Crucible など、その他の製品のバックポート対象が直前の主要なバージョン 1 つのみであるのはなぜですか? Copy link to heading Copied! 回答を表示 +
  

アトラシアンの取り組みは Jira、Confluence、Bitbucket Server に重点を置いていますが、ご要望に応じて Bamboo や Fisheye/Crucible などその他の製品にも拡張し、その他の主要なバージョンを対象に含めることを検討します。