セキュリティ バグ修正ポリシー
アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。
スコープ
このポリシーでは、製品のセキュリティの脆弱性がいつどのように解決されるかを説明しています。
セキュリティ バグ修正のサービスレベル目標 (SLO)
アトラシアンでは、セキュリティの重大度レベルと影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ課題の修正にあたり、次の目標時間枠を設定しています。
早期解決目標
これらの時間枠は以下に適用されます。
- すべてのクラウドベースのアトラシアン製品
- アトラシアンが管理するあらゆるソフトウェアやシステム
- アトラシアンのインフラストラクチャ上で実行されているあらゆるソフトウェアやシステム
- Jira Align、Cloud、セルフマネージド リリース
脆弱性のレベルに応じて、検証後に製品に修正を適用するまでのタイムラインは次のように定義されています。
- クリティカル - 14 日間
- 高 - 28 日間
- 中 - 42 日間
- 低 - 175 日間
延長解決期間
これらの時間枠は、すべての Atlassian Data Center 製品に適用されます。Data Center 製品は、顧客が管理するシステムに顧客によってインストールされ、アトラシアンの Data Center アプリとモバイル アプリが含まれます。
- 重大度がクリティカル、高、中の脆弱性は、検証後 90 日以内に修正されます。
- 重大度が低の脆弱性は、検証後 180 日以内に修正されます。
共同責任モデル
アトラシアンは、すぐに使える安全な製品をお届けするよう努めていますが、同時に責任分担モデルに依存しています。このモデルでは、お客様がデプロイ後も運用段階に至るまで継続するプラクティスを実装することが求められます。分担する責任には以下が含まれます。
- プライベート ネットワークでのアトラシアン ソフトウェアの運用。
- リリースされたセキュリティ修正のタイムリーな実装。
- Web アプリ ファイアウォール (WAF)、VPN、多要素認証、およびシングル サインオン機能の構成。
- 暗号化とアクセス制御の実装。
- 定期的なバックアップの実行。
- 定期的なセキュリティ監査の実施。
重大な脆弱性
重大なセキュリティ脆弱性をアトラシアンが発見した、またはそれがサードパーティから報告された場合、アトラシアンは次のことを行います。
- クラウド製品については、影響を受ける製品の新しい修正済みリリースを可能な限り早く提供します
- オンプレミス製品については、次のことを行います。
- 影響を受けた製品の最新の機能リリースに対するバグ修正リリースの提供
- 影響を受けた製品の新しい機能リリースの、リリース スケジュールに従った提供
- アトラシアンのサポート終了ポリシーに従い、影響を受けた製品のすべてのサポート対象の LTS リリースに対応するバグ修正リリースを提供
製品 | バック ポート ポリシー | 例 |
|---|---|---|
| Jira Software Server および Data Center Jira Server と Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
| Confluence Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
| Bitbucket Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
| これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Bamboo について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Crowd、Fisheye、および Crucible については、影響を受けた製品の最新の機能リリースのバグ修正リリースを提供します。
オンプレミス製品のクリティカルな脆弱性の修正の例:
クリティカルな脆弱性の修正が 2024 年 2 月 1 日に開発された場合、バグ修正を受けるリリースの例は次のようになります。
製品 | 例 |
|---|---|
| Jira | 例 Jira Software 9.13.x: 9.13.0 は最新の機能リリースであるため |
| 例 Jira Software 9.12.x: 9.12.0 は最新の長期サポート リリースであるため | |
| 例 Jira Software 9.4.x: 9.4.0 は前回の長期サポート リリースであるため | |
| Jira Service Management | 例 Jira Service Management 5.13.x: 5.13.0 は最新の機能リリースであるため |
| 例 Jira Service Management 5.12.x: 5.12.0 は最新の長期サポート リリースであるため | |
| 例 Jira Service Management 5.4.x: 5.4.0 はサポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Confluence | 例 Confluence 8.7.x: 8.7.0 は最新の機能リリースであるため |
| 例 Confluence 8.5.x: 8.5.0 は最新の長期サポート リリースであるため | |
| 例 Confluence 7.19.x: 7.19.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Bitbucket | 例 Bitbucket 8.17.x: 8.17.0 は最新の機能リリースであるため |
| 例 Bitbucket 8.9.x: 8.9.0 は最新の長期サポート リリースであるため | |
| 例 Bitbucket 7.21.x: 7.21.0 は、サポート対象の 2 つめの最新の長期サポート リリースであるため | |
| Bamboo | 例 Bamboo 9.5.x: 9.5.0 は最新の機能リリースであるため |
| 例 Bamboo 9.2.x: 9.2.0 は最新の長期サポート リリースであるため | |
| Crowd | 例 Crowd 5.3.x: 5.3.0 は最新の機能リリースであるため |
| Fisheye/Crucible | 例 Fisheye/Crucible 4.8.x: 4.8.0 は最新の機能リリースであるため |
他の製品バージョンに対する新しいバグ修正は提供されません。
頻繁にアップグレードすることで、製品インスタンスの安全性が確保されます。ベスト プラクティスとして、製品の最新の機能リリースまたは LTS リリースの最新のバグ修正リリースを利用し続けることをおすすめします。
緊急度の低い脆弱性
重大度が高、中、低のセキュリティ課題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。可能であれば、修正を長期サポート リリースにバックポートする場合もあります。バックポートの可能性は、ソフトウェアの依存関係、アーキテクチャの変更、互換性の問題など、さまざまな要因によって左右されます。
インストール環境に最新のセキュリティ修正が確実に含まれるようにするため、バグ修正リリースが利用可能になるたびにアップグレードしてください。
その他の情報
脆弱性の重大度レベルは、セキュリティ課題の重大度レベルに基づいて計算されます。
アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、アップデートまたは変更があった場合はこちらのページでご案内します。