Een kwetsbaarheid melden
Als je denkt dat je een beveiligingsprobleem hebt gevonden dat volgens de definitie van Atlassian een kwetsbaarheid is, kan je een rapport indienen bij ons beveiligingsteam via een van de onderstaande methoden.
We kunnen niet reageren op bulkrapporten die gegenereerd worden door automatische scanners. Als je problemen vastlegt met een automatische scan, raden we aan de problemen na te laten kijken door een beveiligingsexpert om er zeker van te zijn dat de bevindingen geldig zijn voordat je een kwetsbaarheidsrapport indient bij Atlassian.
Als je een klant bent:
- Dien je een ticket in bij ons supportteam
Als je een beveiligingsonderzoeker bent:
- Dien je een rapport in bij ons Bug Bounty-programma; of
- Stuur je een e-mail naar security@atlassian.com
Alleen kwetsbaarheden die zijn ingediend via ons Bug Bounty-programma komen in aanmerking voor een uitbetaling.
Vermeld de volgende informatie in je rapport:
- Type probleem (Cross-site Scripting, SQL Injection, code uitgevoerd op afstand, etc.)
- Product en versie met de bug, of een URL als het gaat om een clouddienst
- De potentiële gevolgen van de kwetsbaarheid (d.w.z. welke gegevens ingezien of gewijzigd kunnen worden)
- Stapsgewijze instructies om het probleem te reproduceren
- Eventuele proof-of-concept of exploitcode die nodig is om het te reproduceren
Indien je je inzending wil versleutelen met onze PGP-sleutel, kun je deze hier downloaden.
Definitie van een kwetsbaarheid
Voor Atlassian is een beveiligingskwetsbaarheid een zwakte in een van onze producten of infrastructuur waarmee een aanvaller de vertrouwelijkheid, integriteit of beschikbaarheid van een product of de infrastructuur kan aantasten.
De volgende soorten bevindingen zien we niet als beveiligingskwetsbaarheden:
- Aanwezigheid of afwezigheid van HTTP-headers (X-Frame-Options, CSP, nosniff, etc.). Deze worden beschouwd als best practices voor beveiliging en we classificeren ze daarom niet als kwetsbaarheden.
- Ontbrekende beveiligingsattributen bij niet-gevoelige cookies. Atlassian-producten kunnen bepaalde beveiligingsattributen instellen voor cookies die in onze applicaties worden gebruikt. De afwezigheid van deze headers bij niet-gevoelige cookies wordt niet beschouwd als een beveiligingskwetsbaarheid.
- Zichtbare stacktraces. Wij zien stacktraces op zichzelf niet als een beveiligingskwetsbaarheid. Als je een stacktrace vindt met persoonlijk identificeerbare informatie of door gebruikers gegenereerde content, kun je een rapport indienen met het probleem.
- Contentspoofing door beheerders. Wij staan beheerders toe om HTML als een personalisatiefunctie te gebruiken in specifieke gedeeltes van onze producten en zien dit niet als kwetsbaarheid.
- Clickjacking op pagina's in Jira Server of pagina's die alleen statische content bevatten. Zie https://jira.atlassian.com/browse/JRASERVER-25143 voor meer informatie.
- Automatisch invullen ingeschakeld of uitgeschakeld
Openbaarmaking
Een van de waarden van Atlassian is Open bedrijf, geen flauwekul, en we geloven dat het openbaar maken van kwetsbaarheden daarbij hoort. We houden ons aan de service level objectives voor het oplossen van beveiligingsproblemen (SLO). Je kunt die hier vinden. We accepteren ingediende rapporten over kwetsbaarheid in het Bug Bounty-programma nadat het probleem is opgelost en de nieuwe versie is uitgebracht. De aanvraag wordt echter afgewezen als het rapport informatie bevat over een installatie van een klant of gegevens van een klant. We vragen je om ons een redelijke termijn te geven en te wachten tot de bijbehorende SLO voorbij is. Let op: we bieden geen beloningen voor inzendingen via e-mail. Als je op zoek bent naar ons Bug Bounty-programma, klik dan hier.
Veilige haven
Wanneer we in overeenstemming met dit beleid onderzoek naar kwetsbaarheden uitvoeren, beschouwen we dit onderzoek:
- geautoriseerd in overeenstemming met de Computer Fraud and Abuse Act (CFAA) (en/of soortgelijke staatswetten). We zullen geen juridische stappen tegen je starten of ondersteunen wegens onbedoelde schendingen van dit beleid te goeder trouw;
- vrijgesteld van de Digital Millennium Copyright Act (DMCA). We zullen geen claim tegen je indienen wegens het omzeilen van technologische controles;
- vrijgesteld van beperkingen in onze Algemene Voorwaarden die van invloed zouden zijn op het uitvoeren van beveiligingsonderzoek, en we doen in beperkte mate afstand van deze beperkingen voor werkzaamheden die in het kader van dit beleid worden uitgevoerd; en
- wettig, nuttig voor de algemene veiligheid van het internet en te goeder trouw uitgevoerd.
Zoals altijd wordt er van je verwacht dat je je aan alle toepasselijke wetten houdt.
Als je je op enig moment zorgen maakt of niet zeker weet of je beveiligingsonderzoek in overeenstemming is met dit beleid, neem dan contact met ons op via security@atlassian.com en we beantwoorden graag je vragen.
Bug Bounty-programma
Atlassian werkt met een openbaar Bug Bounty-programma voor onze producten, via onze partner Bugcrowd. Beveiligingsonderzoekers kunnen betalingen ontvangen in ruil voor gekwalificeerde kwetsbaarheidsrapporten ingediend bij Atlassian via onze bountyprogramma's.
Openbaarmaking
Het is voor Atlassian een prioriteit om alle beveiligingskwetsbaarheden in onze producten op te lossen binnen de termijnen die zijn aangegeven in ons Beveiligingsbeleid voor bugfixes. Atlassian volgt gecoördineerd beleid voor het openbaar maken van kwetsbaarheden en vraagt iedereen die bij ons een kwetsbaarheid rapporteert om hetzelfde te doen, om onze klanten te beschermen.