セキュリティバグ修正ポリシー
アトラシアンは当社製品の脆弱性を狙った攻撃によってお客様のシステムのセキュリティが侵害されることがないようにすることを優先目標としています。
スコープ
以下に、アトラシアン製品のセキュリティバグを解決するための方法と時期についてご説明します。当社が実施する完全な開示または勧告プロセスについてご説明するものではありません。
セキュリティバグ修正のサービスレベル目標 (SLO)
アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の時間枠を設定しています。
早期解決期間
この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス バージョンの両方) にも適用されます。
- 脅威レベルが重大である製品のバグは検証後 2 週間以内に修正
- 脅威レベルが高である製品のバグは検証後 4 週間以内に修正
- 脅威レベルが中である製品のバグは検証後 6 週間以内に修正
- 脅威レベルが低である製品のバグは検証後 25 週間以内に修正
延長解決期間
この期間はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンのサーバー、データ センター、デスクトップ、モバイル アプリケーションを含みます。
- 脅威レベルが重大、高、中である製品のバグは検証後 90 日以内に修正
- 脅威レベルが低である製品のバグは検証後 180 日以内に修正
重大な脆弱性
重大なセキュリティ脆弱性をアトラシアンが発見した、またはサードパーティから報告された場合、アトラシアンは次のことをすべて行います。
- できる限り早急に、影響を受ける製品の現行バージョンの新しい修正済みリリースを発行します。
- 以前のバージョンの新しいメンテナンスリリースを、次のように発行します。
製品 | バックポートポリシー | 例 |
---|---|---|
Jira Software Server および Data Center Jira Core Server および Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Confluence Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
Bitbucket Server および Data Center | 次の新しいバグ修正リリースを発行します。
| たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
製品 | バックポートポリシー | 例 |
---|---|---|
Jira Software Server および Data Center Jira Core Server および Data Center Jira Service Management Server および Data Center (旧称 Jira Service Desk) Confluence Server および Data Center Bitbucket Server および Data Center Bamboo Server および Data Center | 次の新しいバグ修正リリースを発行します。
| 重大なセキュリティ バグの修正が 2020 年 1 月 1 日 に発表された場合に、バグ修正を受けるリリースの例を以下に示します。
以下は、新しいバグ修正のリリースを受け取らないリリースの例です。
|
これまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 | たとえば、Crowd について重大なセキュリティ バグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
製品Jira Software Server および Data Center Jira Core Server および Data Center Jira Service Desk Server および Data Center |
バックポートポリシー次の新しいバグ修正リリースを発行します。
|
例たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
製品Confluence Server および Data Center |
バックポートポリシー次の新しいバグ修正リリースを発行します。
|
例たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
製品Bitbucket Server および Data Center |
バックポートポリシー次の新しいバグ修正リリースを発行します。
|
例たとえば、重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
Bitbucket 6.3.0 は修正日付の 6 か月以上前の 2019 年 5 月 14 日にリリースされています。これが長期サポートリリースに指定されている場合、バグ修正リリースも作成されています。 |
製品 |
バックポートポリシーこれまでの機能リリースバージョンについてのみ、新しいバグ修正リリースを発行します。 |
例たとえば、Bamboo について重大なセキュリティバグの修正が 2020 年 1 月 1 日に発表された場合は、次の新しいバグ修正リリースを作成する必要があります。
|
お使いの製品バージョンについて常に最新のバグ修正リリースを入手していただくことが重要です (これがベストプラクティスです)。たとえば、Jira Software 7.5.0 をお使いの場合、Jira Software 7.5.3 に積極的にアップグレードする必要があります。Jira Software 7.5.4 などの新しいセキュリティバグ修正版がリリースされた場合、この 2 つのバージョンの差分はわずか (セキュリティ修正のみ等) であるため、適用がより簡単になります。
重大な脆弱性解決プロセスは、Atlassian Cloud 製品には適用されません。Cloud サービスは常にアトラシアンによって修正されるため、お客様からの他の操作は不要です。
緊急度の低い脆弱性
重大度レベルが高、中、低のセキュリティ問題が発見された場合、アトラシアンはこのドキュメントの最初に記載されているサービス レベル目標内で修正をリリースすることを目指しています。この修正は、実行可能な場合は長期リリースにもバックポートされる可能性があります。
バグ修正リリースが利用可能になった場合は、インストールをアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。
その他の情報
脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。
アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。