Close

Beveiligingsbugfixbeleid

Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.


Scope

Dit beleid beschrijft hoe en wanneer we kwetsbaarheden op het gebied van beveiliging in onze producten kunnen oplossen.

Beveiligingsbugfix service level objectives (SLO)

Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingskwetsbaarheden op basis van de ernst van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsissues in onze producten:

Versnelde tijdskaders voor resolutieoplossingen

Deze termijnen zijn van toepassing op:

  • Alle cloudgebaseerde Atlassian-producten
  • Alle software of systemen die worden beheerd door Atlassian
  • Alle software of systemen die draaien op de Atlassian-infrastructuur
  • Jira Align, cloud- en zelfbeheerde releases

Afhankelijk van het kwetsbaarheidsniveau hebben we na verificatie de volgende termijnen gedefinieerd voor het toepassen van de oplossing in een product:

  • Kritisch: moet binnen 10 dagen worden opgelost
  • Hoog: moet binnen 28 dagen worden opgelost
  • Medium: zou binnen 84 dagen opgelost moeten zijn
  • Laag: zou binnen 175 dagen opgelost moeten zijn

Verlengde tijdskaders voor probleemoplossing

Deze termijndoelstellingen zijn van toepassing op alle Data Center-producten van Atlassian en mobiele apps. Data Center-producten worden door klanten geïnstalleerd op door klanten beheerde systemen.

  • Kwetsbaarheden met kritieke, hoge en gemiddelde ernst moeten opgelost zijn in het product binnen 90 dagen nadat ze geverifieerd zijn
  • Kwetsbaarheden met lage ernst moeten opgelost zijn in het product binnen 180 dagen nadat ze geverifieerd zijn

Model voor gedeelde verantwoordelijkheid

Atlassian is vastbesloten om veilige producten die klaar zijn voor gebruik te leveren, maar we vertrouwen ook op een model voor gedeelde verantwoordelijkheid. Dit model vereist dat klanten werkwijzen toepassen die ook na de implementatie worden voortgezet en zich uitstrekken tot in de operationele fasen. Deze verantwoordelijkheden omvatten:

  • Atlassian-software gebruiken op privénetwerken.
  • Zorgen voor een tijdige implementatie van beveiligingsoplossingen zodra ze zijn gereleaset.
  • Firewalls voor webtoepassingen (WAF), VPN's, meervoudige authenticatie en eenmalige aanmelding configureren.
  • Versleuteling en toegangscontroles implementeren.
  • Regelmatig back-ups maken.
  • Regelmatige veiligheidsaudits uitvoeren.

Kritische kwetsbaarheden

Wanneer een kritieke kwetsbaarheid ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, voert Atlassian de volgende acties uit:

  • Voor cloudproducten leveren we zo snel mogelijk een nieuwe verbeterde release voor het betreffende product
  • Voor zelfbeheerde producten doen we het volgende:
    • een bugfixrelease leveren voor de nieuwste functierelease van het betreffende product.
    • een nieuwe functierelease leveren voor het betreffende product volgens het releaseschema.
    • een bugfixversie leveren voor alle ondersteunde LTS-releases van het betreffende product, in overeenstemming met het end-of-life-beleid van Atlassian-support.

Product
Beleid vorige versies
Voorbeeld

Jira Software Server en Data Center

Jira Server en Data Center

Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk)

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Jira 8.6.x omdat 8.6.0 is uitgebracht op 17 december 2019
  • Jira 8.5.x omdat 8.5.0 is uitgebracht op 21 oktober 2019
  • Jira 8.4.x omdat 8.4.0 is uitgebracht op 9 september 2019
  • Jira 8.3.x omdat 8.3.0 is uitgebracht op 22 juli 2019
  • Jira 7.13.x omdat 7.13 een release met lange termijn-support is en 7.13.0 is uitgebracht op 28 november 2018

Confluence Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Confluence 7.2.x omdat 7.2.0 is uitgebracht op 12 december 2019
  • Confluence 7.1.x omdat 7.1.0 is uitgebracht op 4 november 2019
  • Confluence 7.0.x omdat 7.0.0 is uitgebracht op 10 september 2019
  • Confluence 6.13.x omdat 6.13 een release met lange termijn-support is en 6.13.0 is uitgebracht op 4 december 2018

Bitbucket Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bitbucket 6.9.x omdat 6.9.0 is uitgebracht op 10 december 2019
  • Bitbucket 6.8.x omdat 6.8.0 is uitgebracht op 6 november 2019
  • Bitbucket 6.7.x omdat 6.7.0 is uitgebracht op 1 oktober 2019
  • Bitbucket 6.6.x omdat 6.6.0 is uitgebracht op 27 augustus 2019
  • Bitbucket 6.5.x omdat 6.5.0 is uitgebracht op 24 juli 2019

Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt.

Alle andere producten (Bamboo, Crucible, Fisheye, etc.)

We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies.

Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bamboo 6.10.x omdat deze is uitgebracht op 17 september 2019 en de huidige release is
  • Bamboo 6.9.x omdat 6.9.0 de voorgaande release is

Voor Crowd, Fisheye en Crucible bieden we een bugfixrelease voor de nieuwste functierelease van het betreffende product.

Voorbeelden van kritieke oplossingen voor kwetsbaarheden voor zelfbeheerde producten:

Als een oplossing voor kritieke kwetsbaarheden ontwikkeld is op 1 februari 2024, dan staan hieronder voorbeelden van releases die de bugfix ontvangen:

Product

Voorbeeld

Jira Software

Voorbeeld

Jira Software 9.13.x omdat 9.13.0 de nieuwste functierelease is

Voorbeeld

Jira Software 9.12.x omdat 9.12.0 de nieuwste release met lange termijn-support is

Voorbeeld

Jira Software 9.4.x omdat 9.4.0 de vorige release met lange termijn-support is

Jira Service Management

Voorbeeld

Jira Service Management 5.13.x omdat 5.13.0 de nieuwste functierelease is

Voorbeeld

Jira Service Management 5.12.x omdat 5.12.0 de nieuwste release met lange termijn-support is

Voorbeeld

Jira Service Management 5.4.x omdat 5.4.0 de op een na recentste ondersteunde release met lange termijn-support is

Confluence

Voorbeeld

Confluence 8.7.x omdat 8.7.0 de nieuwste functierelease is

Voorbeeld

Confluence 8.5.x omdat 8.5.0 de nieuwste release met lange termijn-support is

Voorbeeld

Confluence 7.19.x omdat 7.19.0 de op een na recentste ondersteunde release met lange termijn-support is

Bitbucket

Voorbeeld

Bitbucket 8.17.x omdat 8.17.0 de nieuwste functierelease is

Voorbeeld

Bitbucket 8.9.x omdat 8.9.0 de nieuwste release met lange termijn-support is

Voorbeeld

Bitbucket 7.21.x omdat 7.21.0 de op een na recentste ondersteunde release met lange termijn-support is

Bamboo

Voorbeeld

Bamboo 9.5.x omdat 9.5.0 de nieuwste functierelease is

Voorbeeld

Bamboo 9.2.x omdat 9.2.0 de nieuwste release met lange termijn-support is

Crowd

Voorbeeld

Crowd 5.3.x omdat 5.3.0 de nieuwste functierelease is

Fisheye/Crucible

Voorbeeld

Fisheye/Crucible 4.8.x omdat 4.8.0 de nieuwste functierelease is

Andere productversies krijgen geen nieuwe bugfixes.

Regelmatige upgrades zorgen ervoor dat je productinstallaties veilig zijn. Het is aanbevolen om op de hoogte te blijven van de nieuwste bugfixreleases van de nieuwste functierelease of LTS-release van je product.

Niet-kritische kwetsbaarheden

Wanneer een beveiligingsprobleem met een hoge, gemiddelde of lage ernst wordt ontdekt, streeft Atlassian ernaar om een oplossing vrij te geven in de service level objectives die aan het begin van dit document worden vermeld. Deze oplossing kan indien mogelijk ook worden meegenomen naar release met lange termijn-support. De haalbaarheid van het meenemen is afhankelijk van verschillende factoren, waaronder software-afhankelijkheden, veranderingen in de architectuur en compatibiliteitsproblemen.

Om ervoor te zorgen dat je installaties de nieuwste beveiligingsoplossingen bevatten, moet je ze upgraden wanneer er een bugfixrelease beschikbaar komt.

Overige informatie

Het ernstniveau van kwetsbaarheden wordt berekend op basis van Ernstniveaus voor beveiligingsissues.

We blijven ons beleid voortdurend aanpassen op basis van feedback van klanten en tonen eventuele updates of veranderingen op deze pagina.

Veelgestelde vragen

Wat is een model voor gedeelde verantwoordelijkheid? Copy link to heading Copied! Tonen +
  

Een overeenkomst tussen een provider zoals Atlassian en zijn klanten om best practices te implementeren die blijven bestaan na de initiële implementatie en die zich uitstrekken tot in de operationele fasen. Bekijk voor meer informatie de beveiligingschecklist voor Data Center en de gedeelde verantwoordelijkheden.

Wat is een release met lange termijn-support? (voorbeeld: Jira Software 10.3 LTS) Copy link to heading Copied! Tonen +
  

Releases met lange termijn-support zijn voor Data Center-klanten die liever meer tijd willen om zich voor te bereiden op upgrades voor nieuwe functiereleases, maar wel bugfixes moeten ontvangen. Sommige producten wijzen een bepaalde versie aan als release met lange termijn-support, wat betekent dat beveiligingsbugfixes beschikbaar worden gemaakt voor de volledige supportperiode van twee jaar.

Wat is een functierelease? (voorbeeld: Jira Software 10.1) Copy link to heading Copied! Tonen +
  

Een functierelease is een versie die niet als een release met lange termijn-support is aangeduid. In plaats daarvan bevat deze nieuwe functies, wijzigingen in ondersteunde platforms (zoals databases, besturingssystemen, Git-versies) of verwijdering van functies.

Meer informatie over het Bugfixbeleid van Atlassian.

Wat is een release met een bugfix? (voorbeeld: Jira Software 10.2.1) Copy link to heading Copied! Tonen +
  

Releases met een bugfix kunnen de stabiliteit en prestaties verbeteren, evenals functionaliteitsproblemen en beveiligingskwetsbaarheden verhelpen. Afhankelijk van de aard van de bugfixes kunnen ze kleine wijzigingen aanbrengen in bestaande functies. Ze bevatten echter geen nieuwe functies of risicovolle wijzigingen, waardoor ze snel toegepast kunnen worden. We raden aan om snel te upgraden naar de laatste release met bugfixes voor je huidige versie.

Wat is een ondersteunde release? Copy link to heading Copied! Tonen +
  

Atlassian ondersteunt releases gedurende twee jaar na de eerste release van de functie of de release met lange termijn-support (LTS). We bieden bijvoorbeeld technische support voor Jira Software 9.14.x gedurende de twee jaar na de release van Jira 9.14.0.

Wat is een kwetsbaarheid? Copy link to heading Copied! Tonen +
  

Een kwetsbaarheid verwijst naar een zwakte of fout die kan worden uitgebuit door een dreiging of risico. In de context van cyberbeveiliging kan een kwetsbaarheid een fout zijn in de software, in het netwerk of in het systeem. Hierdoor kunnen onbevoegde gebruikers toegang krijgen en schade veroorzaken. Deze kan onder meer bestaan uit verouderde software, zwakke wachtwoorden of ontbrekende gegevenscodering.

Wat is een beveiligingsbugfix? Copy link to heading Copied! Tonen +
  

Een beveiligingsbugfix is een reeks veranderingen die worden aangebracht in een systeem of applicatie om kwetsbaarheden aan te pakken die door hackers misbruikt kunnen worden. Deze kwetsbaarheden, ook wel beveiligingsbugs genoemd, kunnen leiden tot ongeoorloofde toegang, gegevensdiefstal of andere schadelijke activiteiten.

Waar kan ik meer informatie vinden over opgeloste kwetsbaarheden in Data Center-producten? Copy link to heading Copied! Tonen +
  

Atlassian publiceert maandelijks beveiligingsadviezen en biedt toegang tot het portaal voor het openbaar maken van kwetsbaarheden. Het portaal voor het openbaar maken van kwetsbaarheden is een centrale hub voor informatie over vrijgegeven kwetsbaarheden in al onze producten. Het wordt maandelijks bijgewerkt bij de release van elk beveiligingsbulletin en dankzij deze hub kunnen op een eenvoudige manier gegevens uit eerdere bulletins gezocht en geopend worden.