Close

Hoe wij externe beveiligingstests aanpakken


Welkom bij onze hub voor beveiligingstests, speciaal bedoeld om je uitgebreide informatie te geven over de veiligheidstestinitiatieven die Atlassian heeft geïmplementeerd om de veiligheid en bescherming van onze producten en gewaardeerde klanten te garanderen.

Zoek je iets specifieks? Versnel je zoekopdracht via een van de onderstaande links, of lees verder voor meer informatie over het externe beveiligingstestprogramma van Atlassian.

Atlassian hanteert een veelzijdige aanpak voor de externe beveiliging van onze producten. We hebben een model dat altijd actief is en dat altijd wordt getest, waarbij gebruik wordt gemaakt van een crowd-sourced bug bounty, aangevuld met regelmatige white box-penetratietests die worden uitgevoerd door externe veiligheidsadviesbureaus en ons interne beveiligingstestteam.

Onze filosofie en aanpak

Atlassian staat bekend om onze waarden, die echt alles beïnvloeden wat we doen; inclusief onze benadering van beveiligingstests. In de praktijk hebben onze waarden ons de volgende filosofieën en benaderingen opgeleverd:

  • Bugs zijn een onvermijdelijk onderdeel van het ontwikkelingsproces; de vraag is niet of we bugs hebben, maar hoe effectief en snel we ze kunnen vinden en aanpakken. Dit betekent niet dat we van bugs houden of niet voortdurend op zoek zijn naar manieren om de frequentie en ernst ervan te verminderen, maar ontkenning is geen praktische benadering van softwarebugs.
  • We steunen en gebruiken branchenormen; door onze terminologie en aanpak te standaardiseren weten we zeker dat we niets missen en helpen we klanten begrijpen wat we doen en waarom. We delen kwetsbaarheden bijvoorbeeld in via het Common Vulnerability Scoring System (CVSS) om duidelijkheid te geven over de ernst van een specifieke kwetsbaarheid voor ons en onze klanten. We volgen bovendien de kwetsbaarheidsbeheerprocessen zoals beschreven in ISO 27001 en de Cloud Security Alliance (SCA).
  • Externe beveiligingsonderzoekers en penetratietesters zijn een belangrijke uitbreiding van ons team; als een Atlassian-product een kwetsbaarheid bevat, is het voor iedereen (zowel wij als onze klanten) van belang dat we het zo snel mogelijk vinden en oplossen.
    • Atlassian schakelt onafhankelijke externe penetratietesters in om jaarlijks beveiligingsproblemen in onze producten op te sporen en om ons interne beveiligingsteam aan te vullen bij opdrachten waarvoor zeer gespecialiseerde vaardigheden vereist zijn.
    • Atlassian moedigt door middel van geldbeloningen uit ons Bug Bounty-programma externe onderzoekers ook aan om kwetsbaarheden in onze producten te identificeren. Dankzij onze externe beveiligingsonderzoekers kunnen we ons team veel verder opschalen dan met traditionele benaderingen!
  • We zijn open en transparant over ons beveiligingstestprogramma. We verstrekken beoordelingsbrieven (LoA) voor de penetratietests die op onze producten zijn uitgevoerd en statistieken over bugs die zijn gevonden via ons onderstaande bug bounty-programma.

Doorlopende beveiligingsgarantie

Penetratietests

We gebruiken gespecialiseerde beveiligingsbedrijven om penetratietests van onze producten en andere systemen uit te voeren. Daarnaast hebben we een intern beveiligingstestteam dat samenwerkt met externe consultants om technische beveiliging te bieden voor projecten met hoge prioriteit, bijvoorbeeld een nieuwe productfunctie (bijv. Confluence Whiteboards), nieuwe infrastructuur (bijv. onze FedRAMP-omgeving), of nieuwe architectuur (bijv. nieuwe Forge-runtime).

We benaderen penetratietests in deze gevallen doelgericht en gefocust. Deze tests zijn:

  • White box: de testers krijgen designdocumentatie en -briefings van onze productontwikkelaars en hebben de middelen om contact met hen op te nemen als ze vragen hebben tijdens de opdracht om de tests te ondersteunen
  • Ondersteund door code: de testers hebben volledige toegang tot de relevante codebase om te helpen bij het diagnosticeren van onverwacht systeemgedrag tijdens het testen en om potentiële doelwitten te identificeren
  • Gebaseerd op bedreigingen: de tests zijn gericht op een specifiek bedreigingsscenario, zoals de aanname dat een installatie gecompromitteerd is, en vanuit dat beginpunt worden zijdelingse bewegingen getest
  • Methodologisch gestuurd: de testers gebruiken een reeks op maat gemaakte white box-testspellen die gebaseerd zijn op door de sector erkende methodologieën, zoals het Open Web Application Security Project (OWASP). Dit zorgt ervoor dat tests rekening houden met bedreigingen die uniek zijn voor de infrastructuur en technologieën van Atlassian.

We plaatsen Letters of Assessment (LoA, beoordelingsbrieven) van onze penetratietestpartners voor externe consumptie onderaan deze pagina. We kunnen geen volledige rapporten leveren vanwege de uitgebreide interne informatie waar de testers toegang toe hebben bij het uitvoeren van deze beoordelingen. Het merendeel van deze systemen en producten wordt opgenomen in ons openbare Bug bounty-programma, waardoor onze klanten doorlopende externe zekerheid krijgen. Alle resultaten van deze beoordelingen worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

Bug bounty

Ons Bug bounty-programma wordt gehost door Bugcrowd. Dit programma garandeert dat onze producten constant getest worden op beveiligingskwetsbaarheden.

We geloven dat de groep onafhankelijke beveiligingsonderzoekers die meedoet aan ons Bug Bounty-programma bijdraagt aan een effectief beveiligingstestproces, want:

  • Een Bug Bounty is altijd actief. Doorlopende tests zijn noodzakelijk voor een echt agile ontwikkelomgeving met regelmatige releases.
  • Een Bug Bounty heeft meer dan 60.000 potentiële onderzoekers. Dit zorgt voor een groot aantal onderzoekersvaardigheden om technische verzekering uit te voeren.
  • Bug Bounty-onderzoekers ontwikkelen gespecialiseerde tools en processen, zowel verticaal (voor verschillende soorten bugs) als horizontaal (voor verschillende bounty's). Met deze specialisatie is de kans het grootst dat moeilijk te vinden (maar significante) kwetsbaarheden geïdentificeerd worden.

Meer dan 25 van onze producten en omgevingen, van serverproducten tot mobiele apps en cloudproducten, vallen binnen ons Bug Bounty-programma. Informatie over het aantal gerapporteerde kwetsbaarheden, onze gemiddelde reactietijd en onze gemiddelde uitbetaling is te vinden op de website van Bugcrowd, waar meer dan 2.800 onderzoekers zich specifiek voor ons programma hebben geregistreerd.

De kwetsbaarheden die we willen identificeren met ons Bug Bounty-programma omvatten de veel voorkomende types die opgenomen zijn in de bedreigingslijsten Open Web Application Security Project (OWASP) en Web Application Security Consortium (WASC).

Als onderdeel van ons initiatief om open en transparant te zijn, nodigen we iedereen uit om onze Bug Bounty-programmapagina te bezoeken, zich aan te melden en ons te testen.

Marketplace-apps

Marketplace-apps komen aan bod in afzonderlijke bug bounty-programma's die worden gehost door Atlassian, zoals het Vulnerability Disclosure-programma en het Atlassian Built Apps Bug Bounty-programma.

Tests opgezet door klanten

We staan door klanten opgezette tests toe, in overeenstemming met onze gebruiksvoorwaarden voor onze cloudproducten. We hebben ons voorgenomen open te zijn en blijven regelmatig statistieken van ons Bug Bounty-programma publiceren.

We geloven dat onze Bug Bounty-programma's de efficiëntste en duurzaamste manier zijn om de beveiliging van onze producten en services te beoordelen, maar we begrijpen dat je die beveiliging misschien zelf wilt testen. We staan beveiligingstests door klanten toe (penetratietests, kwetsbaarheidsbeoordelingen), maar we vragen je wel om je aan een aantal regels te houden om de veiligheid van ons allemaal te waarborgen.

Kwetsbaarheidsrapportage

Als je een probleem vindt dat je wilt rapporteren aan Atlassian, raadpleeg dan de instructies voor het rapporteren van een kwetsbaarheid.

Een van de waarden van Atlassian is Open bedrijf, geen flauwekul, en we geloven dat het openbaar maken van kwetsbaarheden daarbij hoort. We streven ernaar beveiligingsproblemen op te lossen binnen de relevante doelstellingen op serviceniveau (SLO). We gaan akkoord met openbaarmakingsverzoeken via onze bug bounty-programma's nadat een issue is afgesloten en in productie gereleased is. Het verzoek wordt echter afgewezen als het rapport klantgegevens bevat. Als je van plan bent om problemen openbaar te maken buiten onze bug bounty-programma's om, dan vragen we je om ons ruim van tevoren op de hoogte te stellen en te wachten tot de bijbehorende SLO is verstreken.

Uitsluiting van ons beveiligingstestprogramma

Net zoals we open en duidelijk zijn over de tests die we uitvoeren, zijn we open en duidelijk over de tests die we niet zelf uitvoeren of op dit moment niet ondersteunen. Bepaalde soorten kwetsbaarheden met een laag risico, zoals opsomming en informatieverzameling, worden over het algemeen niet als significante risico's beschouwd.

De juiste dingen meten

Ons beveiligingsbugfixbeleid bevat de termijnen van Service Level Objective (SLO) voor het oplossen van kwetsbaarheden op basis van de ernst en het product. Bij het beoordelen van kwetsbaarheden maken we gebruik van het Common Vulnerability Scoring System, waardoor we de ernst van kwetsbaarheden kunnen communiceren richting onze klanten.

Samenvatting

Het crowd-sourced bug bounty-programma en de externe veiligheidsadviesbureaus van Atlassian, , evenals ons interne beveiligingstestteam vormen samen een uitgebreid, bedachtzaam en transparant model. Dit zorgt ervoor dat onze producten en platforms voortdurend worden getest en beveiligd, waardoor klanten continue zekerheid geboden wordt.

Download onze huidige Bug bounty-rapporten

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het Bug Bounty-intakeproces zijn binnengekomen. Alle resultaten van de Bug Bounty worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

Download onze jaarlijkse bugbounty-rapporten

Naast onze driemaandelijkse bugbounty-updates publiceren we ook een jaarverslag over onze bugbounty-programma's. Dit rapport biedt onze klanten inzicht in de voortgang van het programma en bevat gedetailleerde informatie over de soorten kwetsbaarheden die zijn ontdekt.

Beoordelingsbrieven (LoA) downloaden

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het rapportageproces van de penetratietest zijn binnengekomen. Alle resultaten van deze beoordelingen worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.