Close

セキュリティバグ修正ポリシー

アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。


スコープ

以下に、アトラシアン製品のセキュリティバグを解決するための方法と時期についてご説明します。当社が実施する完全な開示または勧告プロセスについてご説明するものではありません。

セキュリティバグ修正のサービスレベル目標 (SLO)

アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。

早期解決期間

この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス バージョンの両方) にも適用されます。

  • 重大度レベルがクリティカルである製品のバグは検証後 14 日以内に修正
  • 重大度レベルがである製品のバグは検証後 28 日以内に修正
  • 重大度レベルがである製品のバグは検証後 42 日以内に修正
  • 重大度レベルがである製品のバグは検証後 175 日以内に修正

延長解決期間

この期間はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンのサーバー、データ センター、デスクトップ、モバイル アプリケーションを含みます。

  • 脅威レベルが重大である製品のバグは検証後 90 日以内に修正
  • 脅威レベルがである製品のバグは検証後 180 日以内に修正

重大な脆弱性

重大なセキュリティ脆弱性をアトラシアンが発見した、またはサードパーティから報告された場合、アトラシアンは次のことをすべて行います。

  • できる限り早急に、影響を受ける製品の現行バージョンの新しい修正済みリリースを発行します。
  • 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。

製品
バックポートポリシー

Jira Software Server および Data Center

Jira Core Server および Data Center

Jira Service Management Server および Data Center (旧称 Jira Service Desk)

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Jira 8.6.x: 8.6.0 が 2019 年 12 月 17 日にリリースされたため
  • Jira 8.5.x: 8.5.0 が 2019 年 10 月 21 日にリリースされたため
  • Jira 8.4.x: 8.4.0 が 2019 年 9 月 9 日にリリースされたため
  • Jira 8.3.x: 8.3.0 が 2019 年 7 月 22 日にリリースされたため
  • Jira 7.13.x。7.13 は長期サポートリリースであり、7.13.0 が 2018 年 11 月 28 日にリリースされたためです。

Confluence Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Confluence 7.2.x: 7.2.0 が 2019 年 12 月 12 日にリリースされたため
  • Confluence 7.1.x: 7.1.0 が 2019 年 11 月 4 日にリリースされたため
  • Confluence 7.0.x: 7.0.0 が 2019 年 9 月 10 日にリリースされたため
  • Confluence 6.13.x。6.13 は長期サポートリリースであり、6.13.0 が 2018 年12 月 4 日にリリースされたためです。

Bitbucket Server および Data Center

次の新しいバグ修正リリースを発行します。

  • サポート終了になっていない「長期サポートリリース」が指定されているバージョン。
  • 修正のリリース日からさかのぼって 6 か月以内にリリースされたすべての機能バージョン。

たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bitbucket 6.9.x: 6.9.0 が 2019 年 12 月 10 日にリリースされたため
  • Bitbucket 6.8.x: 6.8.0 が 2019 年 11 月 6 日にリリースされたため
  • Bitbucket 6.7.x: 6.7.0 が 2019 年 10 月 1 日にリリースされたため
  • Bitbucket 6.6.x: 6.6.0 が 2019 年 8 月 27 日にリリースされたため
  • Bitbucket 6.5.x: 6.5.0 が 2019 年 7 月 24 日にリリースされたため

Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。

他のすべての製品 (BambooCrucibleFisheye など)

これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。

たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。

  • Bamboo 6.10.x: これが 2019 年 9 月 17 日にリリースされ、現行リリースであるため
  • Bamboo 6.9.x: 6.9.0 が直前のリリースであるため

For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.

お使いの製品バージョンについて常に最新のバグ修正リリースを入手していただくことが重要です (これがベストプラクティスです)。たとえば、Jira Software 7.5.0 をお使いの場合、Jira Software 7.5.3 に積極的にアップグレードする必要があります。Jira Software 7.5.4 などの新しいセキュリティバグ修正版がリリースされた場合、この 2 つのバージョンの差分はわずか (セキュリティ修正のみ等) であるため、適用がより簡単になります。

重大な脆弱性解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud サービスは常にアトラシアンによって修正されるため、お客様からの他の操作は不要です。

Product

Example

Jira Software

Example

Jira Software 9.13.x because 9.13.0 is the latest feature release

Example

Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release

Example

Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release

Jira Service Management

Example

Jira Service Management 5.13.x because 5.13.0 is the latest feature release

Example

Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release

Example

Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release

Confluence

Example

Confluence 8.7.x because 8.7.0 is the latest feature release

Example

Confluence 8.5.x because 8.5.0 is the latest Long Term Support release

Example

Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release

Bitbucket

Example

Bitbucket 8.17.x because 8.17.0 is the latest feature release

Example

Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release

Example

Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release

Bamboo

Example

Bamboo 9.5.x because 9.5.0 is the latest feature release

Example

Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release

Crowd

Example

Crowd 5.3.x because 5.3.0 is the latest feature release

Fisheye/Crucible

Example

Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release

No other product versions would receive new bug fixes.

Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.

緊急度の低い脆弱性

重大度レベルが高、中、低のセキュリティ問題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期リリースにもバックポートされる可能性があります。

バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。

FAQ

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? Copy link to heading Copied! 回答を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? Copy link to heading Copied! 回答を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

Bitbucket、Jira、Confluence について、6 か月間の機能リリースしか対象とならないのはなぜですか? Copy link to heading Copied! 回答を表示 +
  

Bitbucket Server のリリースは頻繁に行われるため、6 か月の期間には 5 ~ 6 つの主要なバージョンが含まれます。2017 年の半ば以降、Jira および Confluence も同様のリリース頻度となったため、こちらも年間のリリース回数は 5 ~ 6 回です。

「長期サポートリリース」とは何ですか? Copy link to heading Copied! 回答を表示 +
  

長期サポートリリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Server および Data Center のお客様用のリリースです。一部の製品では特定のバージョンを長期サポートリリースとして指定しており、この場合、丸 2 年間のセキュリティバグ修正サポートを提供します。

「機能リリース」とは何ですか? Copy link to heading Copied! 回答を表示 +
  

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、長期サポートリリースに指定されていないバージョン (例: 4.3) を指します。リリースに関する用語の詳細については、「アトラシアンのバグ修正ポリシー」をご覧ください。