脆弱性を報告する
アトラシアンの脆弱性の定義に該当するセキュリティの問題を見つけたと思われる場合は、以下の方法によって当社のセキュリティ チームにレポートを提出してください。
アトラシアンは、自動スキャナーにより生成された一括レポートには対応できません。自動スキャナーを使用して問題を特定する場合、脆弱性レポートをアトラシアンに提出する前に、セキュリティ担当者がその問題を見直し、結果が有効であることを確認するようお勧めします。
お客様:
- 当社のサポートチームにチケットを提出
セキュリティ調査員:
- 当社のバグ報奨金プログラムを通じてレポートを提出、または
- security@atlassian.com にメールを送信
当社のバグ報奨金プログラムを通じて提出された脆弱性のみが報奨金の対象となります。
レポートには以下の情報を含めてください。
- 問題のタイプ (Cross-site Scripting、SQL Injection、リモートコード実行など)
- バグが見つかった製品とバージョン、またはクラウドサービスの場合は URL
- 脆弱性の潜在的な影響 (アクセスまたは修正可能なデータなど)
- 問題を再現するステップバイステップの手順
- 再現するために必要な、概念実証またはエクスプロイトコード
当社の PGP キーを使用して提出を暗号化する場合は、こちらからダウンロードしてください。
脆弱性の定義
アトラシアンでは、セキュリティの脆弱性を、攻撃者が当社の製品やインフラストラクチャの機密性、完全性、または可用性に影響を及ぼす可能性がある、製品またはインフラストラクチャにおける弱点と見なしています。
以下のタイプの所見は、セキュリティの脆弱性とは見なしていません。
- HTTP ヘッダー (X-Frame-Options、CSP、nosniff など) の有無。これらはセキュリティのベストプラクティスと見なされているため、当社では脆弱性に分類しません。
- 非機密性のクッキーでのセキュリティ関連要素の欠落。アトラシアン製品では、アプリケーションで使用されるクッキーに特定のセキュリティ関連要素が設定されます。非機密性クッキーでこれらのヘッダーが未設定であっても、セキュリティの脆弱性とは見なされません。
- スタックトレースの情報漏れ。アトラシアンは、スタックトレース自体をセキュリティの問題とは見なしません。スタックトレースに個人を特定できる情報またはユーザーが生成したコンテンツが含まれているのを見つけた場合は、問題の詳細についてレポートを提出してください。
- 管理ユーザーによるコンテンツスプーフィング。アトラシアンでは、管理者が当社の製品の特定の領域に対して HTML インジェクションを行うことをカスタマイズ機能として許可しているため、この機能を脆弱性とは見なしません。
- Jira Server でのページ、または静的コンテンツのみが含まれるページに対するクリックジャッキング。詳細については、https://jira.atlassian.com/browse/JRASERVER-25143 をご覧ください。
- オートコンプリートの有効化または無効化
バグ報奨金プログラム
アトラシアンは、パートナーである Bugcrowd を通して当社製品に対する公開バグ報奨金プログラムを運用しています。セキュリティ調査員が当社の報奨金プログラムを通じてアトラシアンに要件を満たす脆弱性レポートを提出すると、現金での支払いを受けられます。
公開
アトラシアンは当社製品のセキュリティ脆弱性をセキュリティバグ修正ポリシーで特定している時間枠内に解決することを優先目標としています。アトラシアンは CVD (Coordinated Vulnerability Disclosure) を遵守しており、お客様を保護するために、脆弱性を当社に報告してくださる関係者にも同様に CVD の遵守を要請しています。