Close

보안 버그 수정 정책

Atlassian에서는 제품의 취약점을 악용하여 고객 시스템에 손상이 발생하지 않도록 보장하는 것을 최우선으로 여깁니다.


범위

아래에서는 Atlassian이 제품의 보안 버그를 해결하는 방법과 시기를 설명합니다. Atlassian에서 따르는 권고 프로세스나 전체 공개는 설명하지 않습니다.

보안 버그 수정 SLO(서비스 수준 목표)

Atlassian은 보안 심각도 수준 및 영향을 받는 제품에 따라 보안 취약성을 해결하기 위한 서비스 수준 목표를 설정합니다. Atlassian은 제품의 보안 문제를 해결하기 위해 다음과 같은 기간을 정의했습니다.

단축된 해결 기간

이 기간은 모든 클라우드 기반 Atlassian 제품 및 Atlassian이 관리하거나 Atlassian 인프라에서 실행 중인 다른 모든 소프트웨어 또는 시스템에 적용합니다. Jira Align(Cloud 및 자체 관리 버전 모두)에도 적용합니다.

  • 중요 심각도 버그는 보고된 지 2주 이내에 제품에서 해결
  • 높은 심각도 버그는 보고된 지 4주 이내에 제품에서 해결
  • 중간 심각도 버그는 보고된 지 6주 이내에 제품에서 해결
  • 낮은 심각도 버그는 보고된 지 25주 이내에 제품에서 해결

연장된 해결 기간

이 기간은 모든 자체 관리 Atlassian 제품에 적용합니다. 자체 관리 제품은 고객이 관리하는 시스템에 고객이 설치하는 제품으로, Atlassian의 Server, Data Center, 데스크톱, 모바일 애플리케이션을 포함합니다.

  • 중요, 높음중간 심각도 버그는 보고된 지 90일 이내에 제품에서 해결
  • 낮은 심각도 버그는 보고된 지 180일 이내에 제품에서 해결

중요 취약성

중요 보안 취약성을 Atlassian이 발견하거나 타사가 보고하는 경우 Atlassian은 다음과 같은 조치를 모두 수행합니다.

  • 영향을 받는 제품의 최신 버전에 대한 수정된 새 릴리스를 최대한 빨리 배포합니다.
  • 다음과 같이 이전 버전에 대한 새 유지 관리 릴리스를 배포합니다.

제품
백 포트 정책

Jira Software Server 및 Data Center

Jira Core Server 및 Data Center

Jira Service Management Server 및 Data Center(이전의 Jira Service Desk)

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Jira 8.6.x - 8.6.0을 2019년 12월 17일에 릴리스했으므로
  • Jira 8.5.x - 8.5.0을 2019년 10월 21일에 릴리스했으므로
  • Jira 8.4.x - 8.4.0을 2019년 9월 9일에 릴리스했으므로
  • Jira 8.3.x - 8.3.0을 2019년 7월 22일에 릴리스했으므로
  • Jira 7.13.x - 7.13이 장기 지원 릴리스이고 7.13.0을 2018년 11월 28일에 릴리스했으므로

Confluence Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Confluence 7.2.x - 7.2.0을 2019년 12월 12일에 릴리스했으므로
  • Confluence 7.1.x - 7.1.0을 2019년 11월 4일에 릴리스했으므로
  • Confluence 7.0.x - 7.0.0을 2019년 9월 10일에 릴리스했으므로
  • Confluence 6.13.x - 6.13이 장기 지원 릴리스이고 6.13.0을 2018년 12월 4일에 릴리스했으므로

Bitbucket Server 및 Data Center

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Bitbucket 6.9.x - 6.9.0을 2019년 12월 10일에 릴리스했으므로
  • Bitbucket 6.8.x - 6.8.0을 2019년 12월 6일에 릴리스했으므로
  • Bitbucket 6.7.x - 6.7.0을 2019년 10월 1일에 릴리스했으므로
  • Bitbucket 6.6.x - 6.6.0을 2019년 8월 27일에 릴리스했으므로
  • Bitbucket 6.5.x - 6.5.0을 2019년 7월 24일에 릴리스했으므로

Bitbucket 6.3.0은 수정이 릴리스된 날보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스는 장기 지원 릴리스로 지정되었으며, 버그 수정 릴리스도 제작됩니다.

기타 모든 제품(Bamboo, Crucible, Fisheye 등)

Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다.

예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Bamboo 6.10.x - 2019년 9월 17일에 릴리스했으며 최신 릴리스이므로
  • Bamboo 6.9.x - 6.9.0이 이전 릴리스이므로

 

Product
Back port policy
Example

Jira Software Server and Data Center

Jira Core Server and Data Center

Jira Service Management Server and Data Center (previously known as Jira Service Desk)

Confluence Server and Data Center

Bitbucket Server and Data Center

Issue new bug fix releases for:

  • Any versions designated an 'Long Term Support release' that have not reached end of life.
  • All feature versions released within 6 months of the date the fix is released.

If a critical security bug fix is developed on 2020/01/01, the following are example releases that would receive the bug fix:

  • Jira 8.6.x because 8.6.0 was released on 2019/12/17
  • Confluence 6.13.x because 6.13 is a Long Term Support release, and 6.13.0 was released on 2018/12/4
  • Bitbucket 6.7.x because 6.7.0 was released on 2019/10/01

The following are examples of releases that would not receive new bug fix releases:

  • Jira 7.6.x because 7.6.0 is a Long Term Support release, and 7.6.0 was released on 2017/11/16
  • Confluence 6.14.x because 6.14.0 was released on 2019/01/22
  • Bitbucket 6.3.x because 6.3.0 was released on 2019/05/14

All other products (BambooCrucibleFisheye, etc)

We will only issue new bug fix releases for the current and previous feature release version.

For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:

  • Bamboo 6.10.x because it was released on 17 September 2019 and is the current release
  • Bamboo 6.9.x because 6.9.0 is the previous release
제품

Jira Software Server 및 Data Center

Jira Core Server 및 Data Center

Jira Service Desk Server 및 Data Center

백 포트 정책

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Jira 8.6.x - 8.6.0을 2019년 12월 17일에 릴리스했으므로
  • Jira 8.5.x - 8.5.0을 2019년 10월 21일에 릴리스했으므로
  • Jira 8.4.x - 8.4.0을 2019년 9월 9일에 릴리스했으므로
  • Jira 8.3.x - 8.3.0을 2019년 7월 22일에 릴리스했으므로
  • Jira 7.13.x - 7.13이 장기 지원 릴리스이고 7.13.0을 2018년 11월 28일에 릴리스했으므로
제품

Confluence Server 및 Data Center

백 포트 정책

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Confluence 7.2.x - 7.2.0을 2019년 12월 12일에 릴리스했으므로
  • Confluence 7.1.x - 7.1.0을 2019년 11월 4일에 릴리스했으므로
  • Confluence 7.0.x - 7.0.0을 2019년 9월 10일에 릴리스했으므로
  • Confluence 6.13.x - 6.13이 장기 지원 릴리스이고 6.13.0을 2018년 12월 4일에 릴리스했으므로
제품

Bitbucket Server 및 Data Center

백 포트 정책

다음에 대해 새로운 버그 수정 릴리스 배포:

  • 종료되지 않은 '장기 지원 릴리스'로 지정된 모든 버전
  • 수정이 릴리스된 날로부터 6개월 이내에 릴리스된 모든 기능 버전

예를 들어, 2020년 1월 1일에 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Bitbucket 6.9.x - 6.9.0을 2019년 12월 10일에 릴리스했으므로
  • Bitbucket 6.8.x - 6.8.0을 2019년 12월 6일에 릴리스했으므로
  • Bitbucket 6.7.x - 6.7.0을 2019년 10월 1일에 릴리스했으므로
  • Bitbucket 6.6.x - 6.6.0을 2019년 8월 27일에 릴리스했으므로
  • Bitbucket 6.5.x - 6.5.0을 2019년 7월 24일에 릴리스했으므로

Bitbucket 6.3.0은 수정이 릴리스된 날보다 6개월 이상 앞선 2019년 5월 14일에 릴리스되었습니다. 이 릴리스는 장기 지원 릴리스로 지정되었으며, 버그 수정 릴리스도 제작됩니다.

제품

기타 모든 제품(Bamboo, Crucible, Fisheye 등)

백 포트 정책

Atlassian은 현재 및 이전 기능 릴리스 버전에 대한 새로운 버그 수정 릴리스만 배포합니다.

예를 들어, 2020년 1월 1일에 Bamboo를 위한 중요 보안 버그 수정을 개발한 경우 다음과 같은 새로운 버그 수정 릴리스를 제작해야 합니다.

  • Bamboo 6.10.x - 2019년 9월 17일에 릴리스했으며 최신 릴리스이므로
  • Bamboo 6.9.x - 6.9.0이 이전 릴리스이므로

사용 중인 제품 버전에 대한 최신 버그 수정을 계속 적용하는 것은 중요합니다(이것이 모범 사례임). 예를 들어, Jira Software 7.5.0을 사용 중인 경우 사전에 Jira Software 7.5.3으로 업그레이드해야 합니다. 새로운 보안 버그 수정(예: Jira Software 7.5.4)이 릴리스되면 두 버전 간의 델타는 최소한이며(즉 보안 수정만) 적용하기 더 쉽습니다.

Atlassian Cloud 제품에는 고객이 추가 조치를 취할 필요 없이 항상 Atlassian에서 수정하므로 중요 취약성 해결 프로세스가 적용되지 않습니다.

중요하지 않은 취약성

심각도가 높음, 중간 또는 낮음 인 보안 문제가 발견되면 Atlassian은 이 문서의 처음 부분에 나열된 서비스 수준 목표 내에서 수정 방법을 릴리스하는 것을 목표로 합니다. 가능한 경우 수정 방법이 장기 지원 릴리스로 백 포팅될 수도 있습니다.

버그 수정 릴리스가 제공되면 설치를 업그레이드하여 최신 보안 수정을 적용해야 합니다.

기타 정보

취약성의 심각도 수준은 보안 문제의 심각도 수준을 기반으로 계산됩니다.

Atlassian은 고객 피드백을 기반으로 정책을 지속적으로 평가하고 이 페이지에서 업데이트 또는 변경 사항을 제공합니다.

FAQ

'장기 지원 릴리스'란 무엇입니까? Copy link to heading Copied! 보기 +
  

장기 지원 릴리스는 새로운 기능 버전으로 업그레이드를 준비할 더 많은 시간을 원하지만 여전히 버그 수정을 수신해야 하는 Server 및 Data Center 고객을 위한 릴리스입니다. 일부 제품은 특정 버전을 장기 지원 릴리스로 지정하며 2년 지원 전체 기간 동안 보안 버그 수정을 제공한다는 것을 의미합니다.

'기능 릴리스'란 무엇입니까? Copy link to heading Copied! 보기 +
  

기능 릴리스는 새로운 기능 또는 기존 기능에 대한 주요 변경 사항을 포함하지만 장기 지원 릴리스로 지정되지는 않은 버전(예: 4.3)입니다. 릴리스 용어에 대한 자세한 내용은 Atlassian 버그 수정 정책을 참조하세요.

Bitbucket, Jira 및 Confluence에 기능 릴리스를 6개월 동안만 제공하는 이유는 무엇인가요? Copy link to heading Copied! 보기 +
  

Bitbucket Server는 매우 자주 릴리스되므로 6개월이면 5~6개의 주요 버전이 나옵니다. 2017년 중반부터 Jira와 Confluence는 비슷한 릴리스 케이던스로 바뀌었고, 이제 1년에 5~6회 릴리스하고 있습니다.

Bamboo 및 Fisheye/Crucible과 같은 다른 제품은 하나의 이전 주 버전으로만 백 포팅하는 이유는 무엇인가요? Copy link to heading Copied! 보기 +
  

Atlassian은 Jira, Confluence 및 Bitbucket Server에 노력을 집중하고 있지만, 수요에 따라 추가적인 주 버전을 지원하도록 Bamboo, Fisheye/Crucible 및 기타 제품을 확장할 수도 있습니다.