Beveiligingsbugfixbeleid
Het is een prioriteit van Atlassian om er voor te zorgen dat de systemen van onze klanten niet in gevaar komen vanwege kwetsbaarheden in Atlassian-producten.
Scope
Dit beleid beschrijft hoe en wanneer we kwetsbaarheden op het gebied van beveiliging in onze producten kunnen oplossen.
Beveiligingsbugfix service level objectives (SLO)
Atlassian bepaalt doelstellingen op serviceniveau voor het oplossen van beveiligingskwetsbaarheden op basis van de ernst van het beveiligingsniveau en het getroffen product. We hebben de volgende tijdskaders gedefinieerd voor het oplossen van beveiligingsissues in onze producten:
Versnelde tijdskaders voor resolutieoplossingen
Deze termijnen zijn van toepassing op:
- Alle cloudgebaseerde Atlassian-producten
- Alle software of systemen die worden beheerd door Atlassian
- Alle software of systemen die draaien op de Atlassian-infrastructuur
- Jira Align, cloud- en zelfbeheerde releases
Afhankelijk van het kwetsbaarheidsniveau hebben we na verificatie de volgende termijnen gedefinieerd voor het toepassen van de oplossing in een product:
- Kritisch: moet binnen 10 dagen worden opgelost
- Hoog: moet binnen 28 dagen worden opgelost
- Medium: zou binnen 84 dagen opgelost moeten zijn
- Laag: zou binnen 175 dagen opgelost moeten zijn
Verlengde tijdskaders voor probleemoplossing
Deze termijndoelstellingen zijn van toepassing op alle Data Center-producten van Atlassian en mobiele apps. Data Center-producten worden door klanten geïnstalleerd op door klanten beheerde systemen.
- Kwetsbaarheden met kritieke, hoge en gemiddelde ernst moeten opgelost zijn in het product binnen 90 dagen nadat ze geverifieerd zijn
- Kwetsbaarheden met lage ernst moeten opgelost zijn in het product binnen 180 dagen nadat ze geverifieerd zijn
Model voor gedeelde verantwoordelijkheid
Atlassian is vastbesloten om veilige producten die klaar zijn voor gebruik te leveren, maar we vertrouwen ook op een model voor gedeelde verantwoordelijkheid. Dit model vereist dat klanten werkwijzen toepassen die ook na de implementatie worden voortgezet en zich uitstrekken tot in de operationele fasen. Deze verantwoordelijkheden omvatten:
- Atlassian-software gebruiken op privénetwerken.
- Zorgen voor een tijdige implementatie van beveiligingsoplossingen zodra ze zijn gereleaset.
- Firewalls voor webtoepassingen (WAF), VPN's, meervoudige authenticatie en eenmalige aanmelding configureren.
- Versleuteling en toegangscontroles implementeren.
- Regelmatig back-ups maken.
- Regelmatige veiligheidsaudits uitvoeren.
Kritische kwetsbaarheden
Wanneer een kritieke kwetsbaarheid ontdekt wordt door Atlassian of gerapporteerd wordt door een externe partij, voert Atlassian de volgende acties uit:
- Voor cloudproducten leveren we zo snel mogelijk een nieuwe verbeterde release voor het betreffende product
- Voor zelfbeheerde producten doen we het volgende:
- een bugfixrelease leveren voor de nieuwste functierelease van het betreffende product.
- een nieuwe functierelease leveren voor het betreffende product volgens het releaseschema.
- een bugfixversie leveren voor alle ondersteunde LTS-releases van het betreffende product, in overeenstemming met het end-of-life-beleid van Atlassian-support.
Product | Beleid vorige versies | Voorbeeld |
---|---|---|
Jira Software Server en Data Center Jira Server en Data Center Jira Service Management Server and Data Center (voorheen bekend als Jira Service Desk) | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Confluence Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Bitbucket Server en Data Center | Nieuwe bugfixreleases uitbrengen voor:
| Als bijvoorbeeld een kritische bugfix wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
Bitbucket 6.3.0 is uitgebracht op 14 mei 2019, meer dan 6 maanden voor de datum van de fix. Als het is aangeduid als een release met lange termijn-support, is ook een bugfixrelease gemaakt. |
We releasen alleen nieuwe bugfixes voor de huidige en voorgaande functiereleaseversies. | Als bijvoorbeeld een oplossing voor een kritische beveiligingsbug voor Bamboo wordt ontwikkeld op 1 januari 2020, moeten de volgende nieuwe bugfixreleases volgen:
|
Voor Crowd, Fisheye en Crucible bieden we een bugfixrelease voor de nieuwste functierelease van het betreffende product.
Voorbeelden van kritieke oplossingen voor kwetsbaarheden voor zelfbeheerde producten:
Als een oplossing voor kritieke kwetsbaarheden ontwikkeld is op 1 februari 2024, dan staan hieronder voorbeelden van releases die de bugfix ontvangen:
Product | Voorbeeld |
---|---|
Jira Software | Voorbeeld Jira Software 9.13.x omdat 9.13.0 de nieuwste functierelease is |
Voorbeeld Jira Software 9.12.x omdat 9.12.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Jira Software 9.4.x omdat 9.4.0 de vorige release met lange termijn-support is | |
Jira Service Management | Voorbeeld Jira Service Management 5.13.x omdat 5.13.0 de nieuwste functierelease is |
Voorbeeld Jira Service Management 5.12.x omdat 5.12.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Jira Service Management 5.4.x omdat 5.4.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Confluence | Voorbeeld Confluence 8.7.x omdat 8.7.0 de nieuwste functierelease is |
Voorbeeld Confluence 8.5.x omdat 8.5.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Confluence 7.19.x omdat 7.19.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Bitbucket | Voorbeeld Bitbucket 8.17.x omdat 8.17.0 de nieuwste functierelease is |
Voorbeeld Bitbucket 8.9.x omdat 8.9.0 de nieuwste release met lange termijn-support is | |
Voorbeeld Bitbucket 7.21.x omdat 7.21.0 de op een na recentste ondersteunde release met lange termijn-support is | |
Bamboo | Voorbeeld Bamboo 9.5.x omdat 9.5.0 de nieuwste functierelease is |
Voorbeeld Bamboo 9.2.x omdat 9.2.0 de nieuwste release met lange termijn-support is | |
Crowd | Voorbeeld Crowd 5.3.x omdat 5.3.0 de nieuwste functierelease is |
Fisheye/Crucible | Voorbeeld Fisheye/Crucible 4.8.x omdat 4.8.0 de nieuwste functierelease is |
Andere productversies krijgen geen nieuwe bugfixes.
Regelmatige upgrades zorgen ervoor dat je productinstallaties veilig zijn. Het is aanbevolen om op de hoogte te blijven van de nieuwste bugfixreleases van de nieuwste functierelease of LTS-release van je product.
Niet-kritische kwetsbaarheden
Wanneer een beveiligingsprobleem met een hoge, gemiddelde of lage ernst wordt ontdekt, streeft Atlassian ernaar om een oplossing vrij te geven in de service level objectives die aan het begin van dit document worden vermeld. Deze oplossing kan indien mogelijk ook worden meegenomen naar release met lange termijn-support. De haalbaarheid van het meenemen is afhankelijk van verschillende factoren, waaronder software-afhankelijkheden, veranderingen in de architectuur en compatibiliteitsproblemen.
Om ervoor te zorgen dat je installaties de nieuwste beveiligingsoplossingen bevatten, moet je ze upgraden wanneer er een bugfixrelease beschikbaar komt.
Overige informatie
Het ernstniveau van kwetsbaarheden wordt berekend op basis van Ernstniveaus voor beveiligingsissues.
We blijven ons beleid voortdurend aanpassen op basis van feedback van klanten en tonen eventuele updates of veranderingen op deze pagina.