취약성 보고
Atlassian의 취약성 정의를 충족하는 보안 문제를 발견했다고 생각하는 경우 아래의 방법 중 하나를 통해 보안 팀에 보고서를 제출해 주세요.
Atlassian은 자동 스캐너에 의해 생성된 대량 보고서에 대응할 수 없습니다. 자동 스캐너를 사용하여 문제를 식별하는 경우 Atlassian에 취약성 보고서를 제출하기 전에 보안 실무자가 문제를 검토하고 결과가 유효한지 확인하는 것이 좋습니다.
고객인 경우:
- 지원 팀에 티켓 제출
보안 연구원인 경우:
- 버그 바운티 프로그램을 통해 보고서 제출, 또는
- 이메일 security@atlassian.com을 통해 보고서 제출
버그 바운티 프로그램을 통해 제출된 취약성만 포상금을 지급받을 수 있습니다.
보고서에 다음과 같은 정보를 포함하세요.
- 문제의 유형(Cross-site Scripting, SQL Injection, 원격 코드 실행 등)
- 버그가 있는 제품 및 버전 또는 URL(클라우드 서비스인 경우)
- 취약성의 잠재적인 영향(즉, 어떤 데이터를 액세스 또는 수정할 수 있음)
- 문제를 재현하는 단계별 지침
- 재현하는 데 필요한 개념 증명 또는 악용 코드
PGP 키를 사용하여 제출 내용을 암호화하려면 여기에서 키를 다운로드하세요.
취약성의 정의
Atlassian은 보안 취약성을 공격자가 제품 또는 인프라의 기밀성, 무결성 또는 가용성에 영향을 미칠 수 있도록 하는 제품 및 인프라의 약점으로 간주합니다.
다음과 같은 유형의 결과는 보안 취약성으로 간주하지 않습니다.
- HTTP 헤더가 있거나 없음(X-Frame-Options, CSP, nosniff 등). 이것은 보안 모범 사례로 간주되므로 취약성으로 분류하지 않습니다.
- 중요하지 않은 쿠키에서 보안 관련 특성이 누락됨. Atlassian은 애플리케이션에서 사용되는 쿠키에 특정한 보안 관련 특성을 설정할 수 있습니다. 중요하지 않은 쿠키에 이러한 헤더가 없는 경우 이것은 보안 취약성으로 간주되지 않습니다.
- 스택 추적이 노출됨. 스택 추적 그 자체는 보안 문제로 간주하지 않습니다. 스택 추적에 개인 식별 정보나 사용자 생성 콘텐츠가 자세히 나와 있다면 해당 문제를 자세히 설명하는 보고서를 제출해 주세요.
- 관리자가 콘텐츠를 스푸핑. Atlassian은 관리자가 사용자 지정 기능으로 제품의 특정 영역에 HTML을 삽입할 수 있도록 허용하므로 해당 기능을 취약성으로 간주하지 않습니다.
- Jira Server의 페이지 또는 정적 콘텐츠만 포함된 페이지에서 클릭재킹. 자세한 내용은 https://jira.atlassian.com/browse/JRASERVER-25143을 참조하세요.
- 자동 완성을 사용 또는 사용 중지
버그 바운티 프로그램
Atlassian의 파트너인 Bugcrowd를 통해 제품에 대한 공개 버그 바운티 프로그램을 운영하고 있습니다. 보안 연구원은 바운티 프로그램을 통해 Atlassian에 적격의 취약성 보고서를 제출하여 그 대가로 현금을 지급받을 수 있습니다.
일반 공개
Atlassian은 보안 버그 수정 정책에 명시된 기간 안에 제품의 보안 취약성을 해결하는 것을 중요하게 생각하고 있습니다. Atlassian은 고객을 보호하기 위해 취약성 공개를 동기화하며 취약성을 보고하는 보안 연구원도 이를 따를 것을 요청합니다.