Beveiligingsbugfixbeleid
Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.
Scope
Het volgende beschrijft hoe en wanneer we bugs in de beveiliging van onze producten oplossen. Het beschrijft niet het volledige openbaarmakings- of adviesproces dat we doorlopen.
Beveiligingsbugfix Service Level Objectives (SLO)
Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingsproblemen op basis van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsproblemen in onze producten:
Versnelde tijdskaders voor probleemoplossing
Deze tijdskaders zijn van toepassing op alle cloudproducten van Atlassian, en op alle andere software of systemen die beheerd worden door Atlassian of werken op de infrastructuur van Atlassian. Ze zijn ook van toepassing op Jira Align (zowel de cloud als de zelfbeheerde versies).
- Bugs met ernstigheidsniveau kritiek moeten gefixt zijn in het product binnen 14 dagen nadat ze geverifieerd zijn
- Bugs met ernstigheidsniveau hoog moeten gefixt zijn in het product binnen 28 dagen nadat ze geverifieerd zijn
- Bugs met ernstigheidsniveau medium moeten gefixt zijn in het product binnen 42 dagen nadat ze geverifieerd zijn
- Bugs met ernstigheidsniveau laag moeten gefixt zijn in het product binnen 175 dagen nadat ze geverifieerd zijn
Verlengde tijdskaders voor probleemoplossing
Deze tijdskaders zijn van toepassing op alle zelfbeheerde producten van Atlassian. Een zelfbeheerd product wordt door klanten geïnstalleerd op door klanten beheerde systemen en omvat server-, datacenter- en desktop-applicaties en mobiele applicaties van Atlassian.
- Bugs met ernstigheidsniveau kritisch, hoog en medium moeten gefixt zijn in het product binnen 90 dagen nadat ze geverifieerd zijn
- Bugs met ernstigheidsniveau laag moeten gefixt zijn in het product binnen 180 dagen nadat ze geverifieerd zijn
Kritische kwetsbaarheden
Wanneer een kritisch beveiligingslek ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, doet Atlassian het volgende:
- Zo snel mogelijk een nieuwe, gefixte release uitbrengen voor de huidige versie van het betreffende product.
- Een nieuwe onderhoudsrelease uitgeven voor een oudere versie, zoals hier beschreven:
Product | Beleid vorige versies | Voorbeeld |
---|---|---|
Jira Software Server en Data Center Jira Core Server en Data Center Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk) | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Confluence Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Bitbucket Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt. |
We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies. | Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
Het is belangrijk om de nieuwste bugfixrelease te hebben van de versie van het product dat je gebruikt (dit is een best practice). Als je bijvoorbeeld Jira Software 7.5.0 gebruikt, dien je proactief naar Jira Software 7.5.3 te upgraden. Als er een nieuwe beveiligingsbugfix uitkomt, bijv. Jira Software 7.5.4, is de delta tussen de twee versies minimaal (d.w.z. alleen de beveiligingsfix), waardoor het gemakkelijker toe te passen is.
Het proces om kritische kwetsbaarheden op te lossen is niet van toepassing op onze Atlassian Cloud-producten, aangezien deze altijd door Atlassian worden opgelost zonder dat daar verder actie van onze klanten voor nodig is.
Product | Example |
---|---|
Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
Niet-kritische kwetsbaarheden
Wanneer een beveiligingsprobleem met een hoge, gemiddelde of lage ernst wordt ontdekt, zal Atlassian ernaar streven om een fix in de release op te nemen binnen de doelstellingen van het serviceniveau die aan het begin van dit document worden vermeld. Deze fix kan indien mogelijk ook worden meegenomen naar releases met lange termijn-support.
Je dient je installaties te upgraden zodra er een bugfixrelease beschikbaar komt, zodat je er zeker van kunt zijn dat de nieuwste beveiligingsfixes zijn toegepast.
Overige informatie
De ernstigheidsgraad van kwetsbaarheden wordt berekend op basis van Ernstigheidsniveaus voor beveiligingsproblemen.
We zullen ons beleid voortdurend blijven aanpassen op basis van feedback van klanten en eventuele wijzigingen of updates op deze pagina tonen.