Close
Deze pagina in jouw taal bekijken?
Alle talen
Kies je taal
Producten

Uitgelicht

Jira Software

Projecten en issues volgen

Confluence

Contentsamenwerking

Jira Service Management

Razendsnel ITSM

Trello

Visueel projectmanagement

Alle producten bekijken

Marketplace

Koppel duizenden apps en integraties voor al je Atlassian-producten

Close dropdown
Oplossingen

Uitgelicht

Werkbeheer

Projecten beheren en de doelen van alle teams op elkaar afstemmen om resultaten te behalen

IT-servicemanagement

Zorg dat Dev-, IT Ops- en bedrijfsteams razendsnel geweldige service kunnen leveren

Agile & DevOps

Geef leiding aan een flexibele softwareorganisatie van wereldklasse, van ontdekking tot levering en bedrijfsvoering

Per teamomvang

Enterprise

Kleine onderneming

Startup

Non-profit

Per teamfunctie

Softwareontwikkeling

IT

Finance

Marketing

HR

Per sector

Retail

Telecommunicatie

Professionele diensten

Overheid

Close dropdown
Resources

Leren

Atlassian University

Atlassian playbook

Productdocumentatie

Voor ontwikkelaars

Ondersteuning

Atlassian Community

Atlassian-ondersteuning

Atlassian Migration Program

Bedrijfsservices

Partnersupport

Aanschaf en licenties

Verbinden

Over ons

Vacatures

Work Life Blog

Evenementen

Support voor serverproducten eindigt 15 februari 2024

Nu de ondersteuning voor onze serverproducten binnenkort wordt stopgezet, kun je met het Atlassian Migration Program een goed plan opstellen voor je cloudmigratie.

Mijn opties beoordelen

Close dropdown
Search
Nu proberen
Toggle menu
Close search

Hoe wij externe beveiligingstests aanpakken

Welkom bij onze hub voor beveiligingstests, speciaal bedoeld om je uitgebreide informatie te geven over de veiligheidstestinitiatieven die Atlassian heeft geïmplementeerd om de veiligheid en bescherming van onze producten en gewaardeerde klanten te garanderen.

Zoek je iets specifieks? Versnel je zoekopdracht via een van de onderstaande links, of lees verder voor meer informatie over het externe beveiligingstestprogramma van Atlassian.

Atlassian hanteert een veelzijdige aanpak voor de externe beveiliging van onze producten. We hebben een model dat altijd actief is en dat altijd wordt getest, waarbij gebruik wordt gemaakt van een crowd-sourced bug bounty, aangevuld met regelmatige white box-penetratietests die worden uitgevoerd door externe veiligheidsadviesbureaus en ons interne beveiligingstestteam.

Onze filosofie en aanpak

Atlassian staat bekend om onze waarden, die echt alles beïnvloeden wat we doen; inclusief onze benadering van beveiligingstests. In de praktijk hebben onze waarden ons de volgende filosofieën en benaderingen opgeleverd:

  • Bugs zijn een onvermijdelijk onderdeel van het ontwikkelingsproces; de vraag is niet of we bugs hebben, maar hoe effectief en snel we ze kunnen vinden en aanpakken. Dit betekent niet dat we van bugs houden of niet voortdurend op zoek zijn naar manieren om de frequentie en ernst ervan te verminderen, maar ontkenning is geen praktische benadering van softwarebugs.
  • We steunen en gebruiken branchenormen; door onze terminologie en aanpak te standaardiseren weten we zeker dat we niets missen en helpen we klanten begrijpen wat we doen en waarom. We delen kwetsbaarheden bijvoorbeeld in via het Common Vulnerability Scoring System (CVSS) om duidelijkheid te geven over de ernst van een specifieke kwetsbaarheid voor ons en onze klanten. We volgen bovendien de kwetsbaarheidsbeheerprocessen zoals beschreven in ISO 27001 en de Cloud Security Alliance (SCA).
  • Externe beveiligingsonderzoekers en penetratietesters zijn een belangrijke uitbreiding van ons team; als een Atlassian-product een kwetsbaarheid bevat, is het voor iedereen (zowel wij als onze klanten) van belang dat we het zo snel mogelijk vinden en oplossen.
    • Atlassian schakelt onafhankelijke externe penetratietesters in om jaarlijks beveiligingsproblemen in onze producten op te sporen en om ons interne beveiligingsteam aan te vullen bij opdrachten waarvoor zeer gespecialiseerde vaardigheden vereist zijn.
    • Atlassian moedigt door middel van geldbeloningen uit ons Bug Bounty-programma externe onderzoekers ook aan om kwetsbaarheden in onze producten te identificeren. Dankzij onze externe beveiligingsonderzoekers kunnen we ons team veel verder opschalen dan met traditionele benaderingen!
  • We zijn open en transparant over ons beveiligingstestprogramma. We verstrekken beoordelingsbrieven (LoA) voor de penetratietests die op onze producten zijn uitgevoerd en statistieken over bugs die zijn gevonden via ons onderstaande bug bounty-programma.

Doorlopende beveiligingsgarantie

Penetratietests

We gebruiken gespecialiseerde beveiligingsbedrijven om penetratietests van onze producten en andere systemen uit te voeren. Daarnaast hebben we een intern beveiligingstestteam dat samenwerkt met externe consultants om technische beveiliging te bieden voor projecten met hoge prioriteit, bijvoorbeeld een nieuwe productfunctie (bijv. Confluence Whiteboards), nieuwe infrastructuur (bijv. onze FedRAMP-omgeving), of nieuwe architectuur (bijv. nieuwe Forge-runtime).

We benaderen penetratietests in deze gevallen doelgericht en gefocust. Deze tests zijn:

  • White box: de testers krijgen designdocumentatie en -briefings van onze productontwikkelaars en hebben de middelen om contact met hen op te nemen als ze vragen hebben tijdens de opdracht om de tests te ondersteunen
  • Ondersteund door code: de testers hebben volledige toegang tot de relevante codebase om te helpen bij het diagnosticeren van onverwacht systeemgedrag tijdens het testen en om potentiële doelwitten te identificeren
  • Gebaseerd op bedreigingen: de tests zijn gericht op een specifiek bedreigingsscenario, zoals de aanname dat een installatie gecompromitteerd is, en vanuit dat beginpunt worden zijdelingse bewegingen getest
  • Methodologisch gestuurd: de testers gebruiken een reeks op maat gemaakte white box-testspellen die gebaseerd zijn op door de sector erkende methodologieën, zoals het Open Web Application Security Project (OWASP). Dit zorgt ervoor dat tests rekening houden met bedreigingen die uniek zijn voor de infrastructuur en technologieën van Atlassian.

We plaatsen Letters of Assessment (LoA, beoordelingsbrieven) van onze penetratietestpartners voor externe consumptie onderaan deze pagina. We kunnen geen volledige rapporten leveren vanwege de uitgebreide interne informatie waar de testers toegang toe hebben bij het uitvoeren van deze beoordelingen. Het merendeel van deze systemen en producten wordt opgenomen in ons openbare Bug bounty-programma, waardoor onze klanten doorlopende externe zekerheid krijgen. Alle resultaten van deze beoordelingen worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

Bug bounty

Ons Bug bounty-programma wordt gehost door Bugcrowd. Dit programma garandeert dat onze producten constant getest worden op beveiligingskwetsbaarheden.

We geloven dat de groep onafhankelijke beveiligingsonderzoekers die meedoet aan ons Bug Bounty-programma bijdraagt aan een effectief beveiligingstestproces, want:

  • Een Bug Bounty is altijd actief. Doorlopende tests zijn noodzakelijk voor een echt agile ontwikkelomgeving met regelmatige releases.
  • Een Bug Bounty heeft meer dan 60.000 potentiële onderzoekers. Dit zorgt voor een groot aantal onderzoekersvaardigheden om technische verzekering uit te voeren.
  • Bug Bounty-onderzoekers ontwikkelen gespecialiseerde tools en processen, zowel verticaal (voor verschillende soorten bugs) als horizontaal (voor verschillende bounty's). Met deze specialisatie is de kans het grootst dat moeilijk te vinden (maar significante) kwetsbaarheden geïdentificeerd worden.

Meer dan 25 van onze producten en omgevingen, van serverproducten tot mobiele apps en cloudproducten, vallen binnen ons Bug Bounty-programma. Informatie over het aantal gerapporteerde kwetsbaarheden, onze gemiddelde reactietijd en onze gemiddelde uitbetaling is te vinden op de website van Bugcrowd, waar meer dan 2.800 onderzoekers zich specifiek voor ons programma hebben geregistreerd.

De kwetsbaarheden die we willen identificeren met ons Bug Bounty-programma omvatten de veel voorkomende types die opgenomen zijn in de bedreigingslijsten Open Web Application Security Project (OWASP) en Web Application Security Consortium (WASC).

Als onderdeel van ons initiatief om open en transparant te zijn, nodigen we iedereen uit om onze Bug Bounty-programmapagina te bezoeken, zich aan te melden en ons te testen.

Marketplace-apps

Marketplace-apps komen aan bod in afzonderlijke bug bounty-programma's die worden gehost door Atlassian, zoals het Vulnerability Disclosure-programma en het Atlassian Built Apps Bug Bounty-programma.

Tests opgezet door klanten

We staan door klanten opgezette tests toe, in overeenstemming met onze gebruiksvoorwaarden voor onze cloudproducten. We hebben ons voorgenomen open te zijn en blijven regelmatig statistieken van ons Bug Bounty-programma publiceren.

We geloven dat onze Bug Bounty-programma's de efficiëntste en duurzaamste manier zijn om de beveiliging van onze producten en services te beoordelen, maar we begrijpen dat je die beveiliging misschien zelf wilt testen. We staan beveiligingstests door klanten toe (penetratietests, kwetsbaarheidsbeoordelingen), maar we vragen je wel om je aan een aantal regels te houden om de veiligheid van ons allemaal te waarborgen.

Kwetsbaarheidsrapportage

Als je een probleem vindt dat je wilt rapporteren aan Atlassian, raadpleeg dan de instructies voor het rapporteren van een kwetsbaarheid.

Een van de waarden van Atlassian is Open bedrijf, geen flauwekul, en we geloven dat het openbaar maken van kwetsbaarheden daarbij hoort. We streven ernaar beveiligingsproblemen op te lossen binnen de relevante doelstellingen op serviceniveau (SLO). We gaan akkoord met openbaarmakingsverzoeken via onze bug bounty-programma's nadat een issue is afgesloten en in productie gereleased is. Het verzoek wordt echter afgewezen als het rapport klantgegevens bevat. Als je van plan bent om problemen openbaar te maken buiten onze bug bounty-programma's om, dan vragen we je om ons ruim van tevoren op de hoogte te stellen en te wachten tot de bijbehorende SLO is verstreken.

Uitsluiting van ons beveiligingstestprogramma

Net zoals we open en duidelijk zijn over de tests die we uitvoeren, zijn we open en duidelijk over de tests die we niet zelf uitvoeren of op dit moment niet ondersteunen. Bepaalde soorten kwetsbaarheden met een laag risico, zoals opsomming en informatieverzameling, worden over het algemeen niet als significante risico's beschouwd.

De juiste dingen meten

Ons beveiligingsbugfixbeleid bevat de termijnen van Service Level Objective (SLO) voor het oplossen van kwetsbaarheden op basis van de ernst en het product. Bij het beoordelen van kwetsbaarheden maken we gebruik van het Common Vulnerability Scoring System, waardoor we de ernst van kwetsbaarheden kunnen communiceren richting onze klanten.

Samenvatting

Het crowd-sourced bug bounty-programma en de externe veiligheidsadviesbureaus van Atlassian, , evenals ons interne beveiligingstestteam vormen samen een uitgebreid, bedachtzaam en transparant model. Dit zorgt ervoor dat onze producten en platforms voortdurend worden getest en beveiligd, waardoor klanten continue zekerheid geboden wordt.

Wil je meer te weten komen?

We hebben in deze korte paper naar een heel aantal andere documenten en resources verwezen en we raden je aan je hier in te verdiepen om meer te weten te komen over onze benadering van beveiligingstests.

Download onze huidige Bug bounty-rapporten

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het Bug Bounty-intakeproces zijn binnengekomen. Alle resultaten van de Bug Bounty worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.

Beoordelingsbrieven (LoA) downloaden

Alle beveiligingsproblemen die in de onderstaande rapporten worden geïdentificeerd, worden in onze interne Jira bijgehouden zodra ze tijdens het rapportageproces van de penetratietest zijn binnengekomen. Alle resultaten van deze beoordelingen worden getrieerd en opgelost volgens onze SLO voor openbare beveiligingskwetsbaarheden.