Close

Beveiligingsbugfixbeleid

Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.


Scope

Het volgende beschrijft hoe en wanneer we bugs in de beveiliging van onze producten oplossen. Het beschrijft niet het volledige openbaarmakings- of adviesproces dat we doorlopen.

Beveiligingsbugfix Service Level Objectives (SLO)

Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingsproblemen op basis van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsproblemen in onze producten:

Versnelde tijdskaders voor probleemoplossing

Deze tijdskaders zijn van toepassing op alle cloudproducten van Atlassian, en op alle andere software of systemen die beheerd worden door Atlassian of werken op de infrastructuur van Atlassian. Ze zijn ook van toepassing op Jira Align (zowel de cloud als de zelfbeheerde versies).

  • Bugs met ernstigheidsniveau kritiek moeten gefixt zijn in het product binnen 2 weken nadat ze geverifieerd zijn
  • Bugs met ernstigheidsniveau hoog moeten gefixt zijn in het product binnen 4 weken nadat ze geverifieerd zijn
  • Bugs met ernstigheidsniveau medium moeten gefixt zijn in het product binnen 6 weken nadat ze geverifieerd zijn
  • Bugs met ernstigheidsniveau laag moeten gefixt zijn in het product binnen 25 weken nadat ze geverifieerd zijn

Verlengde tijdskaders voor probleemoplossing

Deze tijdskaders zijn van toepassing op alle zelfbeheerde producten van Atlassian. Een zelfbeheerd product wordt door klanten geïnstalleerd op door klanten beheerde systemen en omvat server-, datacenter- en desktop-applicaties en mobiele applicaties van Atlassian.

  • Bugs met ernstigheidsniveau kritisch, hoog en medium moeten gefixt zijn in het product binnen 90 dagen nadat ze geverifieerd zijn
  • Bugs met ernstigheidsniveau laag moeten gefixt zijn in het product binnen 180 dagen nadat ze geverifieerd zijn

Kritische kwetsbaarheden

Wanneer een kritisch beveiligingslek ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, doet Atlassian het volgende:

  • Zo snel mogelijk een nieuwe, gefixte release uitbrengen voor de huidige versie van het betreffende product.
  • Een nieuwe onderhoudsrelease uitgeven voor een oudere versie, zoals hier beschreven:

Product
Beleid vorige versies
Voorbeeld

Jira Software Server en Data Center

Jira Core Server en Data Center

Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk)

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Jira 8.6.x omdat 8.6.0 is uitgebracht op 17 december 2019
  • Jira 8.5.x omdat 8.5.0 is uitgebracht op 21 oktober 2019
  • Jira 8.4.x omdat 8.4.0 is uitgebracht op 9 september 2019
  • Jira 8.3.x omdat 8.3.0 is uitgebracht op 22 juli 2019
  • Jira 7.13.x omdat 7.13 een release met lange termijn-support is en 7.13.0 is uitgebracht op 28 november 2018

Confluence Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Confluence 7.2.x omdat 7.2.0 is uitgebracht op 12 december 2019
  • Confluence 7.1.x omdat 7.1.0 is uitgebracht op 4 november 2019
  • Confluence 7.0.x omdat 7.0.0 is uitgebracht op 10 september 2019
  • Confluence 6.13.x omdat 6.13 een release met lange termijn-support is en 6.13.0 is uitgebracht op 4 december 2018

Bitbucket Server en Data Center

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bitbucket 6.9.x omdat 6.9.0 is uitgebracht op 10 december 2019
  • Bitbucket 6.8.x omdat 6.8.0 is uitgebracht op 6 november 2019
  • Bitbucket 6.7.x omdat 6.7.0 is uitgebracht op 1 oktober 2019
  • Bitbucket 6.6.x omdat 6.6.0 is uitgebracht op 27 augustus 2019
  • Bitbucket 6.5.x omdat 6.5.0 is uitgebracht op 24 juli 2019

Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt.

Alle andere producten (Bamboo, Crucible, Fisheye, etc.)

We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies.

Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bamboo 6.10.x omdat deze is uitgebracht op 17 september 2019 en de huidige release is
  • Bamboo 6.9.x omdat 6.9.0 de voorgaande release is

Product
Beleid vorige versies
Voorbeeld

Jira Software Server en Data Center

Jira Core Server en Data Center

Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk)

Confluence Server en Data Center

Bitbucket Server en Data Center

Server en Data Center van Bamboo

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.

Als een kritische bugfix is ontwikkeld op 1 januari 2020, zijn de volgende voorbeeldreleases die de bugfix zouden ontvangen:

  • Jira 8.6.x omdat 8.6.0 is uitgebracht op 17 december 2019
  • Confluence 6.13.x omdat 6.13 een release met lange termijn-support is en 6.13.0 is uitgebracht op 4 december 2018
  • Bitbucket 6.7.x omdat 6.7.0 is uitgebracht op 1 oktober 2019
  • Bamboo 6.10.x omdat 6.10.2 is uitgebracht op 17 september 2019

Hieronder volgen voorbeelden van releases die geen nieuwe bugfixreleases zouden ontvangen:

  • Jira 7.6.x omdat 7.6.0 een release met lange termijn-support is en 7.6.0 is uitgebracht op 16 november 2017
  • Confluence 6.14.x omdat 6.14.0 is uitgebracht op 22 januari 2019
  • Bitbucket 6.3.x omdat 6.3.0 is uitgebracht op 14 mei 2019
  • Bamboo 6.9.x omdat 6.9.0 is uitgebracht op 23 mei 2023

Alle andere producten (Crucible, Fisheye, etc.)

We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies.

Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Crowd wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Crowd 3.7.x omdat deze is uitgebracht op 3 oktober 2019 en de huidige release is
  • Crowd 3.6.x omdat het de vorige release is
Product

Jira Software Server en Data Center

Jira Core Server en Data Center

Jira Service Desk Server en Data Center

Beleid vorige versies

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.
Voorbeeld

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Jira 8.6.x omdat 8.6.0 is uitgebracht op 17 december 2019
  • Jira 8.5.x omdat 8.5.0 is uitgebracht op 21 oktober 2019
  • Jira 8.4.x omdat 8.4.0 is uitgebracht op 9 september 2019
  • Jira 8.3.x omdat 8.3.0 is uitgebracht op 22 juli 2019
  • Jira 7.13.x omdat 7.13 een release met lange termijn-support is en 7.13.0 is uitgebracht op 28 november 2018
Product

Confluence Server en Data Center

Beleid vorige versies

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.
Voorbeeld

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Confluence 7.2.x omdat 7.2.0 is uitgebracht op 12 december 2019
  • Confluence 7.1.x omdat 7.1.0 is uitgebracht op 4 november 2019
  • Confluence 7.0.x omdat 7.0.0 is uitgebracht op 10 september 2019
  • Confluence 6.13.x omdat 6.13 een release met lange termijn-support is en 6.13.0 is uitgebracht op 4 december 2018
Product

Bitbucket Server en Data Center

Beleid vorige versies

Nieuwe bugfixreleases uitbrengen voor:

  • Alle versies die worden aangeduid als 'release met lange termijn-support' en die het einde van hun levensduur nog niet bereikt hebben.
  • Alle toekomstige versies die uitgebracht worden binnen zes maanden na de datum dat een fix wordt uitgebracht.
Voorbeeld

Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bitbucket 6.9.x omdat 6.9.0 is uitgebracht op 10 december 2019
  • Bitbucket 6.8.x omdat 6.8.0 is uitgebracht op 6 november 2019
  • Bitbucket 6.7.x omdat 6.7.0 is uitgebracht op 1 oktober 2019
  • Bitbucket 6.6.x omdat 6.6.0 is uitgebracht op 27 augustus 2019
  • Bitbucket 6.5.x omdat 6.5.0 is uitgebracht op 24 juli 2019

Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt.

Product

Alle andere producten (Bamboo, Crucible, Fisheye, etc.)

Beleid vorige versies

We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies.

Voorbeeld

Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:

  • Bamboo 6.10.x omdat deze is uitgebracht op 17 september 2019 en de huidige release is
  • Bamboo 6.9.x omdat 6.9.0 de voorgaande release is

Het is belangrijk om de nieuwste bugfixrelease te hebben van de versie van het product dat je gebruikt (dit is een best practice). Als je bijvoorbeeld Jira Software 7.5.0 gebruikt, dien je proactief naar Jira Software 7.5.3 te upgraden. Als er een nieuwe beveiligingsbugfix uitkomt, bijv. Jira Software 7.5.4, is de delta tussen de twee versies minimaal (d.w.z. alleen de beveiligingsfix), waardoor het gemakkelijker toe te passen is.

Het proces om kritische kwetsbaarheden op te lossen is niet van toepassing op onze Atlassian Cloud-producten, aangezien deze altijd door Atlassian worden opgelost zonder dat daar verder actie van onze klanten voor nodig is.

Niet-kritische kwetsbaarheden

Wanneer een beveiligingsprobleem met een hoge, gemiddelde of lage ernst wordt ontdekt, zal Atlassian ernaar streven om een fix in de release op te nemen binnen de doelstellingen van het serviceniveau die aan het begin van dit document worden vermeld. Deze fix kan indien mogelijk ook worden meegenomen naar releases met lange termijn-support.

Je dient je installaties te upgraden zodra er een bugfixrelease beschikbaar komt, zodat je er zeker van kunt zijn dat de nieuwste beveiligingsfixes zijn toegepast.

Overige informatie

De ernstigheidsgraad van kwetsbaarheden wordt berekend op basis van Ernstigheidsniveaus voor beveiligingsproblemen.

We zullen ons beleid voortdurend blijven aanpassen op basis van feedback van klanten en eventuele wijzigingen of updates op deze pagina tonen.

Veelgestelde vragen

Wat is een 'release met lange termijn-support'? Copy link to heading Copied! Tonen +
  

Releases met lange termijn-support zijn voor Server- en Data Center-klanten die liever meer tijd hebben om zich voor te bereiden op upgrades naar nieuwe functieversies, maar wel bugfixes moeten ontvangen. Sommige producten wijzen een bepaalde versie aan als release met lange termijn-support, wat betekent dat beveiligingsbugfixes beschikbaar worden gemaakt voor het volledige supportvenster van twee jaar.

Wat is een 'functierelease'? Copy link to heading Copied! Tonen +
  

Een functierelease is een versie (bijvoorbeeld 4.3) die nieuwe functies bevat of belangrijke wijzigingen in bestaande functies, en niet is aangewezen als release met lange termijn-support. Zie het Bugfixbeleid van Atlassian voor meer informatie over onze releaseterminologie.

Waarom dekken jullie slechts zes maanden aan functiereleases voor Bitbucket, Jira en Confluence? Copy link to heading Copied! Tonen +
  

Er zijn erg vaak nieuwe releases voor Bitbucket Server, dus met zes maanden dekken we 5 tot 6 belangrijke versies. Jira en Confluence zijn medio 2017 overgegaan op een ander releaseschema en releasen nu ook 5 tot 6 keer per jaar.

Waarom gaan andere producten, zoals Bamboo en Fisheye/Crucible maar naar één vorige versie terug? Copy link to heading Copied! Tonen +
  

Onze inspanningen zijn voornamelijk gericht op Jira, Confluence en Bitbucket Server, maar we kunnen overwegen de dekking voor Bamboo, Fisheye/Crucible en andere producten te verlengen tot aanvullende belangrijke versies, op basis van de vraag hiernaar.