Close

보안 버그 수정 정책

Atlassian에서는 제품의 취약점을 악용하여 고객 시스템에 손상이 발생하지 않도록 보장하는 것을 최우선으로 여깁니다.


범위

이 정책은 Atlassian이 제품의 보안 취약성을 해결할 수 있는 방법과 시기를 설명합니다.

보안 버그 수정 SLO(서비스 수준 목표)

Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위한 서비스 수준 목표를 설정합니다. Atlassian은 제품의 보안 문제를 해결하기 위해 다음과 같은 기간 목표를 정의했습니다.

가속화된 해결 목표

이 기간은 모든 클라우드 기반 Atlassian 제품 및 Atlassian이 관리하거나 Atlassian 인프라에서 실행 중인 다른 모든 소프트웨어 또는 시스템에 적용됩니다. Jira Align(Cloud 및 자체 관리 릴리스 모두)에도 적용됩니다.

  • 중요 취약성은 확인 후 10일 이내에 제품에서 해결
  • 높은 취약성은 확인 후 28일 이내에 제품에서 해결
  • 중간 취약성은 확인 후 84일 이내에 제품에서 해결
  • 낮은 취약성은 확인 후 175일 이내에 제품에서 해결

연장된 해결 기간

이 기간 목표는 모든 자체 관리 Atlassian 제품에 적용됩니다. 자체 관리 제품은 고객이 관리하는 시스템에 고객이 설치하는 제품으로 Atlassian의 Data Center 및 모바일 앱을 포함합니다.

  • 중요, 높음중간 취약성은 확인 후 90일 이내에 제품에서 해결
  • 낮은 취약성은 확인 후 180일 이내에 제품에서 해결

중요 취약성

중요 취약성을 Atlassian이 발견하거나 타사가 보고하는 경우 Atlassian은 다음과 같은 조치를 수행합니다.

  • Cloud 제품의 경우 영향을 받은 제품에 대해 수정된 새 릴리스를 최대한 빨리 제공합니다
  • 자체 관리 제품의 경우 Atlassian은 다음과 같이 합니다.
    • 영향을 받은 제품의 최신 기능 릴리스에 대한 버그 수정 릴리스를 제공
    • 릴리스 일정에 맞춰 영향을 받은 제품에 대한 새 기능 릴리스를 제공
    • Atlassian Support 수명 종료 정책에 따라 영향을 받은 제품의 지원되는 모든 LTS 릴리스에 대한 버그 수정 릴리스를 제공

제품
백포트 정책

Jira Software Server 및 Data Center

Jira Core Server 및 Data Center

Jira Service Management Server 및 Data Center(이전의 Jira Service Desk)

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 수명 종료에 도달하지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날짜로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Jira 8.6.x - 8.6.0을 2019년 12월 17일에 릴리스했으므로
  • Jira 8.5.x - 8.5.0을 2019년 10월 21일에 릴리스했으므로
  • Jira 8.4.x - 8.4.0을 2019년 9월 9일에 릴리스했으므로
  • Jira 8.3.x - 8.3.0을 2019년 7월 22일에 릴리스했으므로
  • Jira 7.13.x - 7.13이 장기 지원 릴리스이고 7.13.0을 2018년 11월 28일에 릴리스했으므로

Confluence Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날짜로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Confluence 7.2.x - 7.2.0을 2019년 12월 12일에 릴리스했으므로
  • Confluence 7.1.x - 7.1.0을 2019년 11월 4일에 릴리스했으므로
  • Confluence 7.0.x - 7.0.0을 2019년 9월 10일에 릴리스했으므로
  • Confluence 6.13.x - 6.13이 장기 지원 릴리스이고 6.13.0을 2018년 12월 4일에 릴리스했으므로

Bitbucket Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날짜로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Bitbucket 6.9.x - 6.9.0을 2019년 12월 10일에 릴리스했으므로
  • Bitbucket 6.8.x - 6.8.0을 2019년 12월 6일에 릴리스했으므로
  • Bitbucket 6.7.x - 6.7.0을 2019년 10월 1일에 릴리스했으므로
  • Bitbucket 6.6.x - 6.6.0을 2019년 8월 27일에 릴리스했으므로
  • Bitbucket 6.5.x - 6.5.0을 2019년 7월 24일에 릴리스했으므로

Bitbucket 6.3.0은 수정이 릴리스된 날짜보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스가 장기 지원 릴리스로 지정된 경우, 버그 수정 릴리스도 만들 것입니다.

기타 모든 제품(Bamboo, Crucible, Fisheye 등)

Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다.

예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 만들어야 합니다.

  • Bamboo 6.10.x - 2019년 9월 17일에 릴리스했으며 현재 릴리스이므로
  • Bamboo 6.9.x - 6.9.0이 이전 릴리스이므로

Crowd, Fisheye 및 Crucible의 경우 영향을 받은 제품의 최신 기능 릴리스에 대한 버그 수정 릴리스를 제공합니다.

다음은 자체 관리 제품의 중요 취약성 수정 예시입니다.

2024년 2월 1일에 중요 취약성 수정을 개발한 경우 버그 수정을 받아야 하는 릴리스의 예시는 다음과 같습니다.

제품

Jira Software

Jira Software 9.13.x(최신 기능 릴리스가 9.13.0)

Jira Software 9.12.x(최신 장기 지원 릴리스가 9.12.0)

Jira Software 9.4.x(이전 장기 지원 릴리스가 9.4.0)

Jira Service Management

Jira Service Management 5.13.x(최신 기능 릴리스가 5.13.0)

Jira Service Management 5.12.x(최신 장기 지원 릴리스가 5.12.0)

Jira Service Management 5.4.x(지원되는 두 번째 최신 장기 지원 릴리스가 5.4.0)

Confluence

Confluence 8.7.x(최신 기능 릴리스가 8.7.0)

Confluence 8.5.x(최신 장기 지원 릴리스가 8.5.0)

Confluence 7.19.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.19.0)

Bitbucket

Bitbucket 8.17.x(최신 기능 릴리스가 8.17.0)

Bitbucket 8.9.x(최신 장기 지원 릴리스가 8.9.0)

Bitbucket 7.21.x (지원되는 두 번째 최신 장기 지원 릴리스가 7.21.0)

Bamboo

Bamboo 9.5.x(최신 기능 릴리스가 9.5.0)

Bamboo 9.2.x(최신 장기 지원 릴리스가 9.2.0)

Crowd

Crowd 5.3.x (최신 기능 릴리스가 5.3.0)

Fisheye/Crucible

Fisheye/Crucible 4.8.x(최신 기능 릴리스가 4.8.0)

다른 제품 버전에는 새로운 버그 수정이 제공되지 않습니다.

잦은 업그레이드는 제품 인스턴스의 보안을 보장합니다. 제품의 최신 기능 릴리스 또는 LTS 릴리스의 최신 버그 수정 릴리스를 유지하는 것이 가장 좋습니다.

중요하지 않은 취약성

심각도가 높음, 중간 또는 낮음인 보안 문제가 발견되면 Atlassian은 이 문서의 처음 부분에 나열된 서비스 수준 목표 내에서 수정 방법을 릴리스하는 것을 목표로 합니다. 가능한 경우 수정 방법이 장기 지원 릴리스로 백포팅될 수도 있습니다. 백포팅의 실현 가능성은 다른 요인 중에서도 복잡한 종속성, 아키텍처 변경 및 호환성에 따라 달라집니다.

버그 수정 릴리스가 제공되면 설치를 업그레이드하여 최신 보안 수정을 적용해야 합니다.

기타 정보

취약성의 심각도 수준은 보안 문제의 심각도 수준을 기반으로 계산됩니다.

Atlassian은 고객 피드백을 기반으로 정책을 지속적으로 평가하고 이 페이지에서 업데이트 또는 변경 사항을 제공할 것입니다.

FAQ

보안 버그 수정이란 무엇입니까? Copy link to heading Copied! 보기 +
  

보안 버그 수정은 해커가 잠재적으로 악용할 수 있는 취약성을 해결하기 위한 시스템 또는 애플리케이션에 대한 변경 사항의 집합입니다. 보안 버그라고도 하는 이 취약성은 무단 액세스, 데이터 도난 또는 기타 악의적인 활동으로 이어질 수 있습니다.

취약성이란 무엇입니까? Copy link to heading Copied! 보기 +
  

취약성이란 위협 또는 위험에 의해 악용될 수 있는 약점이나 결함을 의미합니다. 사이버 보안의 맥락에서 보면 취약성은 권한이 없는 사용자가 액세스 권한을 얻어 피해를 입힐 수 있도록 하는 소프트웨어, 네트워크 또는 시스템의 결함일 수 있습니다. 여기에는 오래된 소프트웨어, 취약한 비밀번호 또는 누락된 데이터 암호화가 포함될 수 있습니다.

Data Center 제품의 수정된 취약성에 대한 자세한 정보는 어디에서 찾을 수 있습니까? Copy link to heading Copied! 보기 +
  

Atlassian은 월간 보안 권고를 게시하며 취약성 공개 포털에 대한 액세스를 제공합니다. 취약성 공개 포털은 Atlassian 제품의 공개된 취약성에 대한 정보를 제공하는 중앙 집중식 허브입니다. 각 보안 게시판의 릴리스와 함께 매달 업데이트되며 이전 게시판의 데이터를 쉽게 검색하고 액세스할 수 있는 방법을 제공합니다.

장기 지원 릴리스란 무엇입니까? Copy link to heading Copied! 보기 +
  

장기 지원 릴리스는 새로운 기능 버전으로 업그레이드를 준비할 더 많은 시간을 원하지만 여전히 버그 수정을 받아야 하는 Data Center 고객을 위한 릴리스입니다. 일부 제품은 특정 버전을 장기 지원 릴리스로 지정하며 2년 지원 전체 기간 동안 보안 버그 수정을 제공한다는 것을 의미합니다.

기능 릴리스란 무엇입니까? Copy link to heading Copied! 보기 +
  

기능 릴리스는 새로운 기능 또는 기존 기능에 대한 주요 변경 사항을 포함하지만 장기 지원 릴리스로 지정되지는 않은 버전(예: Jira Software 9.11)입니다. Atlassian 버그 수정 정책에 대해 자세히 알아보세요.