Close

Een kwetsbaarheid melden


Als je denkt dat je een beveiligingsprobleem hebt gevonden dat volgens de definitie van Atlassian een kwetsbaarheid is, kan je een rapport indienen bij ons beveiligingsteam via een van de onderstaande methoden:

Als je een klant bent:

Als je een beveiligingsonderzoeker bent:

Alleen kwetsbaarheden die zijn ingediend via ons Bug Bounty-programma komen in aanmerking voor een uitbetaling.

Vermeld de volgende informatie in je rapport:

  • Type probleem (Cross-site Scripting, SQL Injection, code uitgevoerd op afstand, etc.)
  • Product en versie met de bug, of een URL als het gaat om een clouddienst
  • De potentiële gevolgen van de kwetsbaarheid (d.w.z. welke gegevens ingezien of gewijzigd kunnen worden)
  • Stapsgewijze instructies om het probleem te reproduceren
  • Eventuele proof-of-concept of exploitcode die nodig is om het te reproduceren

Indien je je inzending wil versleutelen met onze PGP-sleutel, kun je deze hier downloaden.

We kunnen niet reageren op bulkrapporten die gegenereerd worden door automatische scanners. Als je problemen vastlegt met een automatische scan, raden we aan de problemen na te laten kijken door een beveiligingsexpert om er zeker van te zijn dat de bevindingen geldig zijn voordat je een kwetsbaarheidsrapport indient bij Atlassian.

Definitie van een kwetsbaarheid

Voor Atlassian is een beveiligingskwetsbaarheid een zwakte in een van onze producten of infrastructuur waarmee een aanvaller de vertrouwelijkheid, integriteit of beschikbaarheid van een product of de infrastructuur kan aantasten.

De volgende soorten bevindingen zien we niet als beveiligingskwetsbaarheden:

  • Aanwezigheid of afwezigheid van HTTP-headers (X-Frame-Options, CSP, nosniff, etc.). Deze worden beschouwd als best practices voor beveiliging en we classificeren ze daarom niet als kwetsbaarheden.
  • Ontbrekende beveiligingsattributen bij niet-gevoelige cookies. Atlassian-producten kunnen bepaalde beveiligingsattributen instellen voor cookies die in onze applicaties worden gebruikt. De afwezigheid van deze headers bij niet-gevoelige cookies wordt niet beschouwd als een beveiligingskwetsbaarheid.
  • Zichtbare stacktraces. Wij zien stacktraces op zichzelf niet als een beveiligingskwetsbaarheid. Als je een stacktrace vindt met persoonlijk identificeerbare informatie of door gebruikers gegenereerde content, kun je een rapport indienen met het probleem.
  • Contentspoofing door beheerders. Wij staan beheerders toe om HTML als een personalisatiefunctie te gebruiken in specifieke gedeeltes van onze producten en zien dit niet als kwetsbaarheid.
  • Clickjacking op pagina's in Jira Server of pagina's die alleen statische content bevatten. Zie https://jira.atlassian.com/browse/JRASERVER-25143 voor meer informatie.
  • Automatisch invullen ingeschakeld of uitgeschakeld

Bug Bounty-programma

Atlassian werkt met een openbaar Bug Bounty-programma voor onze producten, via onze partner Bugcrowd. Beveiligingsonderzoekers kunnen betalingen ontvangen in ruil voor gekwalificeerde kwetsbaarheidsrapporten ingediend bij Atlassian via onze bountyprogramma's.

Openbaarmaking

Het is voor Atlassian een prioriteit om alle beveiligingskwetsbaarheden in onze producten op te lossen binnen de termijnen die zijn aangegeven in ons Beveiligingsbeleid voor bugfixes. Atlassian volgt gecoördineerd beleid voor het openbaar maken van kwetsbaarheden en vraagt iedereen die bij ons een kwetsbaarheid rapporteert om hetzelfde te doen, om onze klanten te beschermen.