Close

Zasady usuwania błędów zabezpieczeń

Ochrona systemów klienta przed atakami z wykorzystaniem luk w zabezpieczeniach produktów Atlassian jest dla nas sprawą priorytetową.


Zakres

Poniżej opisano, w jaki sposób i kiedy usuwamy błędy zabezpieczeń w naszych produktach. Nie jest to opis pełnego procesu ujawniania lub doradztwa, który stosujemy.

Usuwanie błędów zabezpieczeń — docelowe poziomy świadczenia usług (SLO)

Atlassian wyznacza docelowe poziomy świadczenia usług dotyczące usuwania luk w zabezpieczeniach na podstawie poziomu istotności problemów z zabezpieczeniami i konkretnego produktu. W przypadku wydawania poprawek zabezpieczeń w naszych produktach zdefiniowaliśmy następujące ramy czasowe:

Ramy czasowe usuwania błędów w trybie przyspieszonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich produktów chmurowych Atlassian, a także dowolnego innego oprogramowania lub systemu zarządzanego przez Atlassian bądź działającego w oparciu o infrastrukturę Atlassian. Mają one również zastosowanie do rozwiązania Jira Align (zarówno w wersji Cloud, jak i w wersjach samodzielnie zarządzanych).

  • Błędy krytyczne — usunięcie z produktu w ciągu 2 tygodni od zgłoszenia.
  • Błędy bardzo istotne — usunięcie z produktu w ciągu 4 tygodni od zgłoszenia.
  • Błędy średnio istotne — usunięcie z produktu w ciągu 6 tygodni od zgłoszenia.
  • Błędy mało istotne — usunięcie z produktu w ciągu 25 tygodni od zgłoszenia.

Ramy czasowe usuwania błędów w trybie wydłużonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich samodzielnie zarządzanych produktów Atlassian. Produkt samodzielnie zarządzany jest instalowany przez klientów w systemach przez nich zarządzanych i obejmuje aplikacje serwerowe, do centrów danych, komputerowe i mobilne Atlassian.

  • Błędy krytyczne, bardzo istotne i średnio istotne — usunięcie z produktu w ciągu 90 dni od zgłoszenia.
  • Błędy mało istotne — usunięcie z produktu w ciągu 180 dni od zgłoszenia.

Krytyczne luki w zabezpieczeniach

W przypadku wykrycia przez Atlassian lub zgłoszenia przez stronę trzecią krytycznej luki w zabezpieczeniach, Atlassian podejmie następujące kroki:

  • Możliwie jak najszybciej udostępni nowe, poprawione wydanie bieżącej wersji produktu, którego dotyczy problem.
  • Opublikuje nowe wydanie poprawiające poprzednią wersję zgodnie z następującym schematem:

Produkt
Zasady backportowania
Przykład

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Management Server i Data Center (dawniej Jira Service Desk)

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku

Confluence Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku

Bitbucket Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

 

Product
Back port policy
Example

Jira Software Server and Data Center

Jira Core Server and Data Center

Jira Service Management Server and Data Center (previously known as Jira Service Desk)

Confluence Server and Data Center

Bitbucket Server and Data Center

Issue new bug fix releases for:

  • Any versions designated an 'Long Term Support release' that have not reached end of life.
  • All feature versions released within 6 months of the date the fix is released.

If a critical security bug fix is developed on 2020/01/01, the following are example releases that would receive the bug fix:

  • Jira 8.6.x because 8.6.0 was released on 2019/12/17
  • Confluence 6.13.x because 6.13 is a Long Term Support release, and 6.13.0 was released on 2018/12/4
  • Bitbucket 6.7.x because 6.7.0 was released on 2019/10/01

The following are examples of releases that would not receive new bug fix releases:

  • Jira 7.6.x because 7.6.0 is a Long Term Support release, and 7.6.0 was released on 2017/11/16
  • Confluence 6.14.x because 6.14.0 was released on 2019/01/22
  • Bitbucket 6.3.x because 6.3.0 was released on 2019/05/14

All other products (BambooCrucibleFisheye, etc)

We will only issue new bug fix releases for the current and previous feature release version.

For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:

  • Bamboo 6.10.x because it was released on 17 September 2019 and is the current release
  • Bamboo 6.9.x because 6.9.0 is the previous release
Produkt

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Desk Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku
Produkt

Confluence Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku
Produkt

Bitbucket Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Produkt

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

Ważne, aby korzystać z najnowszego wydania z poprawkami błędów używanej wersji produktu (jest to najlepsza praktyka). Przykładowo klienci korzystający z rozwiązania Jira Software 7.5.0, powinni proaktywnie dokonać uaktualnienia do wersji Jira Software 7.5.3. W przypadku wydania nowej poprawki zabezpieczeń, np. Jira Software 7.5.4, różnica między dwoma wersjami będzie minimalna (tj. będzie to wyłącznie poprawka zabezpieczeń), co ułatwi jej zastosowanie.

Proces eliminowania krytycznych luk w zabezpieczeniach nie ma zastosowania do produktów Atlassian Cloud, ponieważ poprawki w tych usługach są zawsze wprowadzane przez Atlassian, bez konieczności podejmowania jakichkolwiek działań przez klientów.

Niekrytyczne luki w zabezpieczeniach

W przypadku wykrycia bardzo istotnych, średnio istotnych lub mało istotnych problemów z zabezpieczeniami Atlassian będzie dążyć do wydania poprawki w terminach określonych w docelowych poziomach świadczenia usług wymienionych na początku tego dokumentu. Jeśli jest to wykonalne, możliwe jest również backportowanie poprawki do wersji ze wsparciem długoterminowym.

Po udostępnieniu wydania z poprawką błędu należy uaktualnić instalacje, aby mieć pewność, że zostały zastosowane najnowsze poprawki zabezpieczeń.

Inne informacje

Poziom istotności luk w zabezpieczeniach jest obliczany na podstawie poziomów istotności problemów z zabezpieczeniami.

Będziemy poddawać nasze zasady ciągłej ewaluacji w oparciu o opinie klientów, a na tej stronie będziemy zamieszczać wszelkie aktualności lub zmiany.

Często zadawane pytania

Co to jest „wersja ze wsparciem długoterminowym”? Copy link to heading Copied! Pokaż +
  

Wersje ze wsparciem długoterminowym są przeznaczone dla klientów korzystających z produktów Server i Data Center, którzy wolą poświęcić więcej czasu na przygotowanie się do uaktualnień nowych wersji z funkcjami, ale mimo to chcą otrzymywać poprawki błędów. W przypadku niektórych produktów ich konkretna wersja może być oznaczona jako wersja ze wsparciem długoterminowym, co oznacza, że poprawki zabezpieczeń będą udostępniane przez cały 2-letni okres wsparcia.

Co to jest „wydanie z funkcjami”? Copy link to heading Copied! Pokaż +
  

Wydanie z funkcjami to wersja (np. 4.3), która zawiera nowe funkcje lub istotne zmiany dotychczasowych funkcji, ale nie jest oznaczona jako wersja ze wsparciem długoterminowym. Więcej informacji na temat nazewnictwa naszych wydań zawierają Zasady usuwania błędów Atlassian.

Dlaczego w przypadku Bitbucket, Jira i Confluence obejmujecie tylko 6 miesięcy wydań z funkcjami? Copy link to heading Copied! Pokaż +
  

Wydania Bitbucket Server pojawiają się bardzo często, dlatego w ciągu 6 miesięcy udostępnianych jest 5–6 głównych wersji. Od połowy 2017 roku podobną częstotliwość wydań zastosowano w produktach Jira i Confluence, dla których obecnie nowe wydania są publikowane 5–6 razy w roku.

Dlaczego w przypadku takich produktów, jak Bamboo i Fisheye/Crucible, backportowanie obejmuje tylko jedną poprzednią wersję główną? Copy link to heading Copied! Pokaż +
  

Koncentrujemy nasze wysiłki na produktach Jira, Confluence i Bitbucket Server, jednak w razie zapotrzebowania możemy rozważyć rozszerzenie o dodatkowe główne wersje Bamboo, Fisheye/Crucible oraz innych produktów.