Hoe wij externe beveiligingstests aanpakken

Atlassian hanteert een veelzijdige aanpak voor de externe beveiliging van onze producten. We hebben een model dat altijd actief is en dat altijd wordt getest, waarbij gebruik wordt gemaakt van een crowd-sourced bug bounty, aangevuld met regelmatige white box-penetratietests die worden uitgevoerd door externe veiligheidsadviesbureaus en ons interne beveiligingstestteam.

Onze filosofie en aanpak

Atlassian staat bekend om onze waarden, die echt alles beïnvloeden wat we doen; inclusief onze benadering van beveiligingstests. In de praktijk hebben onze waarden ons de volgende filosofieën en benaderingen opgeleverd:

• Bugs zijn een onvermijdelijk onderdeel van het ontwikkelingsproces; de vraag is niet of we bugs hebben, maar hoe effectief en snel we ze kunnen vinden en aanpakken. Dit betekent niet dat we van bugs houden of niet voortdurend op zoek zijn naar manieren om de frequentie en ernst ervan te verminderen, maar ontkenning is geen praktische benadering van softwarebugs.
• We steunen en gebruiken branchenormen; door onze terminologie en aanpak te standaardiseren weten we zeker dat we niets missen en helpen we klanten begrijpen wat we doen en waarom. We delen kwetsbaarheden bijvoorbeeld in via het Common Vulnerability Scoring System (CVSS) om duidelijkheid te geven over de ernst van een specifieke kwetsbaarheid voor ons en onze klanten. We volgen bovendien de kwetsbaarheidsbeheerprocessen zoals beschreven in ISO 27001 en de Cloud Security Alliance (SCA).
• Externe beveiligingsonderzoekers en penetratietesters zijn een belangrijke uitbreiding van ons team; als een Atlassian-product een kwetsbaarheid bevat, is het voor iedereen (zowel wij als onze klanten) van belang dat we deze zo snel mogelijk vinden en oplossen.
  • Atlassian schakelt onafhankelijke externe penetratietesters in om jaarlijks beveiligingsproblemen in onze producten op te sporen en om ons interne beveiligingsteam aan te vullen bij opdrachten waarvoor zeer gespecialiseerde vaardigheden vereist zijn.
  • Atlassian moedigt door middel van geldbeloningen uit ons Bug Bounty-programma externe onderzoekers ook aan om kwetsbaarheden in onze producten te identificeren. Dankzij onze externe beveiligingsonderzoekers kunnen we ons team veel verder opschalen dan met traditionele benaderingen.
• We zijn open en transparant over ons beveiligingstestprogramma. We verstrekken attestatiebrieven (LoA) voor de penetratietests die op onze producten zijn uitgevoerd en statistieken over bugs die zijn gevonden via ons onderstaande Bug Bounty-programma.

Doorlopende beveiligingsgarantie

Penetratietests

We gebruiken gespecialiseerde beveiligingsbedrijven om penetratietests van onze producten en andere systemen uit te voeren. Daarnaast hebben we een intern beveiligingstestteam dat samenwerkt met externe consultants om technische beveiliging te bieden voor projecten met hoge prioriteit, bijvoorbeeld een nieuwe productfunctie (bijv. Confluence Whiteboards), nieuwe infrastructuur (bijv. onze FedRAMP-omgeving), of nieuwe architectuur (bijv. nieuwe Forge-runtime).

We benaderen penetratietests in deze gevallen doelgericht en gefocust. Deze tests zijn:

• White box: de testers krijgen designdocumentatie en -briefings van onze productontwikkelaars en hebben de middelen om contact met hen op te nemen als ze vragen hebben tijdens de opdracht om de tests te ondersteunen
• Ondersteund door code: de testers hebben volledige toegang tot de relevante codebase om te helpen bij het diagnosticeren van onverwacht systeemgedrag tijdens het testen en om potentiële doelwitten te identificeren
• Gebaseerd op bedreigingen: de tests zijn gericht op een specifiek bedreigingsscenario, zoals de aanname dat een installatie gecompromitteerd is, en vanuit dat beginpunt worden zijdelingse bewegingen getest
• Methodologisch gestuurd: de testers gebruiken een reeks op maat gemaakte white box-testspellen die gebaseerd zijn op door de sector erkende methodologieën, zoals het Open Web Application Security Project (OWASP). Dit zorgt ervoor dat tests rekening houden met bedreigingen die uniek zijn voor de infrastructuur en technologieën van Atlassian.

We plaatsen attestatiebrieven (LoA) van onze penetratietestpartners voor externe consumptie onderaan deze pagina. We kunnen geen volledige rapporten leveren vanwege de uitgebreide interne informatie waar de testers toegang toe hebben bij het uitvoeren van deze beoordelingen. Het merendeel van deze systemen en producten wordt opgenomen in ons openbare Bug-Bounty-programma, waardoor onze klanten doorlopende externe zekerheid krijgen. Alle resultaten van deze beoordelingen worden gesorteerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

Bug bounty

Ons Bug bounty-programma wordt gehost door Bugcrowd. Dit programma garandeert dat onze producten constant getest worden op beveiligingskwetsbaarheden.

We geloven dat de groep onafhankelijke beveiligingsonderzoekers die meedoet aan ons Bug Bounty-programma bijdraagt aan een effectief beveiligingstestproces, want:

• Een Bug Bounty is altijd actief. Doorlopende tests zijn noodzakelijk voor een echt agile ontwikkelomgeving met regelmatige releases.
• Een bug bounty heeft meer dan 275.000 potentiële onderzoekers uit meer dan 100 landen. Dit zorgt voor een groot aantal onderzoekersvaardigheden om technische verzekering uit te voeren.
• Bug Bounty-onderzoekers ontwikkelen gespecialiseerde tools en processen, zowel verticaal (voor verschillende soorten bugs) als horizontaal (voor verschillende bounty's). Met deze specialisatie is de kans het grootst dat moeilijk te vinden (maar significante) kwetsbaarheden geïdentificeerd worden.

Meer dan 30 van onze producten of omgevingen – in onze producten voor kunstmatige intelligentie, Cloud-producten, Data Center-producten en mobiele apps — zijn in scope van ons Bug-Bounty-programma. Informatie over het aantal gemelde kwetsbaarheden, onze gemiddelde reactietijd en onze gemiddelde uitbetaling is te vinden op de Bugcrowd-site, waar meer dan 3.700 onderzoekers zich specifiek voor ons programma hebben geregistreerd.

De kwetsbaarheden die we willen identificeren met ons Bug Bounty-programma omvatten de veel voorkomende types die opgenomen zijn in de bedreigingslijsten Open Web Application Security Project (OWASP) en Web Application Security Consortium (WASC).

Als onderdeel van ons initiatief om open en transparant te zijn, nodigen we iedereen uit om onze Bug Bounty-programmapagina te bezoeken, zich aan te melden en ons te testen.

Marketplace-apps

Marketplace-apps vallen onder het Bug-Bounty-programma voor door Atlassian ontwikkelde apps.

Tests opgezet door klanten

We staan door klanten opgezette tests toe, in overeenstemming met onze Gebruiksvoorwaarden voor onze cloudproducten. We hebben ons voorgenomen open te zijn en blijven regelmatig statistieken van ons Bug Bounty-programma publiceren, evenals attestatiebrieven (LoA's).

Hoewel we van mening zijn dat onze aanpak uitgebreide zekerheid biedt voor onze producten en services, begrijpen we dat je de beveiliging misschien zelf wilt testen. We staan beveiligingstests door klanten toe (penetratietests en kwetsbaarheidsbeoordelingen), maar we vragen je wel om je aan een aantal regels te houden om de veiligheid van ons allemaal te waarborgen.

Kwetsbaarheidsrapportage

Als je een probleem vindt dat je wilt rapporteren aan Atlassian, raadpleeg dan de instructies voor het rapporteren van een kwetsbaarheid.

Een van de waarden van Atlassian is Open bedrijf, geen flauwekul, en we geloven dat het openbaar maken van kwetsbaarheden daarbij hoort. We streven ernaar beveiligingsproblemen op te lossen binnen de relevante doelstellingen op serviceniveau (SLO). We gaan akkoord met openbaarmakingsverzoeken via onze bug bounty-programma's nadat een issue is afgesloten en in productie gereleased is. Het verzoek wordt echter afgewezen als het rapport klantgegevens bevat. Als je van plan bent om problemen openbaar te maken buiten onze bug bounty-programma's om, dan vragen we je om ons ruim van tevoren op de hoogte te stellen en te wachten tot de bijbehorende SLO is verstreken.

Uitsluiting van ons beveiligingstestprogramma

Net zoals we open en duidelijk zijn over de tests die we uitvoeren, zijn we open en duidelijk over de tests die we niet zelf uitvoeren of op dit moment niet ondersteunen. Bepaalde soorten kwetsbaarheden met een laag risico, zoals opsomming en informatieverzameling, worden over het algemeen niet als significante risico's beschouwd.

De juiste dingen meten

Ons beveiligingsbugfixbeleid bevat de termijnen van Service Level Objective (SLO) voor het oplossen van kwetsbaarheden op basis van de ernst en het product. Bij het beoordelen van kwetsbaarheden maken we gebruik van het Common Vulnerability Scoring System, waardoor we de ernst van kwetsbaarheden kunnen communiceren richting onze klanten.

Samenvatting

Het crowd-sourced bug bounty-programma en de externe veiligheidsadviesbureaus van Atlassian, , evenals ons interne beveiligingstestteam vormen samen een uitgebreid, bedachtzaam en transparant model. Dit zorgt ervoor dat onze producten en platforms voortdurend worden getest en beveiligd, waardoor klanten continue zekerheid geboden wordt.

Wil je meer te weten komen?

We hebben in deze korte paper naar een heel aantal andere documenten en resources verwezen en we raden je aan je hier in te verdiepen om meer te weten te komen over onze benadering van beveiligingstests.

• Vertrouwenscentrum van Atlassian
• Beveiligingshandelswijzen van Atlassian
• CSA STAR van Atlassian
• Het bugfixbeleid van Atlassian
• Atlassian's rapportagepagina voor kwetsbaarheden
• Verantwoordelijkheden van Atlassian Security voor incidenten
• Atlassian's Bug Bounty-startpagina
• Bug bounty-programma van Atlassian
  • Marketplace-apps die ontwikkeld zijn met behulp van bug bounty van Atlassian
  • Bug bounty-programma Opsgenie
  • Bug bounty-programma Statuspage
  • Bug bounty-programma Trello
  • Bug bounty van Atlassian voor alle andere producten (Jira, Confluence, Bitbucket, enz.)

Download onze huidige Bug bounty-rapporten

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het Bug Bounty-intakeproces zijn binnengekomen. Alle resultaten van de Bug Bounty worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

• Download het meest actuele Atlassian Bug-Bounty-rapport (april 2025)
• Download het meest actuele Jira Align Bug-Bounty-rapport (april 2025)
• Download het meest actuele Opsgenie Bug-Bounty-rapport (april 2025)
• Download het meest actuele Statuspage Bug-Bounty-rapport (april 2025)
• Download het meest actuele Trello Bug-Bounty-rapport (april 2025)
• Download het meeste actuele Loom Bug-Bounty-rapport (april 2025)

Download onze jaarlijkse bugbounty-rapporten

Naast onze driemaandelijkse bugbounty-updates publiceren we ook een jaarverslag over onze bugbounty-programma's. Dit rapport biedt onze klanten inzicht in de voortgang van het programma en bevat gedetailleerde informatie over de soorten kwetsbaarheden die zijn ontdekt.

• Download het bugbounty-rapport van Atlassian voor het boekjaar 2023 (Juli 2022 - juni 2023)

Attestatiebrieven (LoA) downloaden

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het rapportageproces van de penetratietest zijn binnengekomen. Alle resultaten van deze beoordelingen worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

• Attestatiebrief voor Bitbucket Pipelines (2022-05)
• Attestatiebrief voor de Atlassian Log4j Library voor Confluence en Jira (2022-12)
• Attestatiebrief voor Atlas (2023-04)
• Attestatiebrief voor Atlassian Assist (2023-07)
• Attestatiebrief voor Jira Work Management (2024-02)
• Attestatiebrief voor Jira Cloud Platform (2024-03)
• Attestatiebrief voor Bamboo Server en Data Center (2024-05)
• Attestatiebrief voor Jira Product Discovery (2024-05)
• Attestatiebrief voor Atlassian Analytics (webapplicatie) (2024-06)
• Attestatiebrief voor Atlassian Guard (2024-06)
• Attestatiebrief voor Jira Software Data Center (2024-06)
• Attestatiebrief voor Fisheye en Crucible-server (webapplicatie) (2024-07)
• Attestatiebrief voor Compass (webapplicatie) (2024-07)
• Attestatiebrief voor Crowd Server en Data Center (2024-07)
• Attestatiebrief voor SourceTree (2024-09)
• Attestatiebrief voor het Bitbucket Server en Data Center (2024-09)
• Attestatiebrief voor Forge (2024-09)
• Attestatiebrief voor Jira Service Management, Opsgenie Cloud en AirTrack (2024-09)
• Attestatiebrief voor Jira Align (2024-09)
• Attestatiebrief voor Loom (2024-10)
• Attestatiebrief voor Atlassian Guard (webapplicatie; voorheen Beacon) (2024-11)
• Attestatiebrief voor Rovo (2024-11)
• Attestatiebrief voor Confluence Cloud (2024-12)
• Attestatiebrief voor Statuspage Cloud (2024-12)
• Attestatiebrief voor het Jira Service Management Data Center (2024-12)
• Attestatiebrief voor Trello (2025-02)
• Attestatiebrief van de beoordeling van de externe en interne simulaties van Atlassian (02-2025)
• Attestatiebrief voor Focus (02-2025)
• Attestatiebrief voor Confluence Data Center (02-2025)
• Beoordelingsbrief voor Atlassian Home (2025-03)
• Beoordelingsbrief voor Cloudmigratie-platform (2025-03)
• Letter of Attestation for Bitbucket Cloud (2025-04)