Close

Zasady usuwania błędów zabezpieczeń

Ochrona systemów klienta przed atakami z wykorzystaniem luk w zabezpieczeniach produktów Atlassian jest dla Atlassian sprawą priorytetową.


Zakres

Poniżej opisano, w jaki sposób i kiedy usuwamy błędy zabezpieczeń w naszych produktach. Nie jest to opis pełnego procesu ujawniania lub ostrzeżeń, który stosujemy.

Usuwanie błędów zabezpieczeń — docelowe poziomy świadczenia usług (SLO)

Atlassian wyznacza docelowe poziomy świadczenia usług dotyczące usuwania luk w zabezpieczeniach na podstawie poziomu istotności problemów z zabezpieczeniami i konkretnego produktu. W przypadku wydawania poprawek zabezpieczeń w naszych produktach zdefiniowaliśmy następujące ramy czasowe:

Czas usuwania błędów w trybie przyspieszonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich produktów chmurowych Atlassian, a także dowolnego innego oprogramowania lub systemu zarządzanego przez Atlassian bądź działającego w oparciu o infrastrukturę Atlassian. Mają one również zastosowanie do rozwiązania Jira Align (zarówno w wersji Cloud, jak i w wersjach samodzielnie zarządzanych).

  • Błędy krytyczne — usunięcie z produktu w ciągu 2 tygodni od weryfikacji.
  • Błędy bardzo istotne — usunięcie z produktu w ciągu 4 tygodni od weryfikacji.
  • Błędy średnio istotne — usunięcie z produktu w ciągu 6 tygodni od weryfikacji.
  • Błędy mało istotne — usunięcie z produktu w ciągu 25 tygodni od weryfikacji.

Czas usuwania błędów w trybie wydłużonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich samodzielnie zarządzanych produktów Atlassian. Produkt samodzielnie zarządzany jest instalowany przez klientów w systemach przez nich zarządzanych i obejmuje aplikacje serwerowe, do centrów danych, komputerowe i mobilne Atlassian.

  • Błędy krytyczne, bardzo istotne i średnio istotne — usunięcie z produktu w ciągu 90 dni od weryfikacji.
  • Błędy mało istotne — usunięcie z produktu w ciągu 180 dni od weryfikacji.

Krytyczne luki w zabezpieczeniach

W przypadku wykrycia przez Atlassian lub zgłoszenia przez stronę trzecią krytycznej luki w zabezpieczeniach, Atlassian podejmie następujące kroki:

  • Możliwie jak najszybciej udostępni nowe, poprawione wydanie bieżącej wersji produktu, którego dotyczy problem.
  • Opublikuje nowe wydanie poprawiające poprzednią wersję zgodnie z następującym schematem:

Produkt
Zasady backportowania
Przykład

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Management Server i Data Center (dawniej Jira Service Desk)

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku

Confluence Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku

Bitbucket Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

Produkt
Zasady backportowania
Przykład

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Management Server i Data Center (dawniej Jira Service Desk)

Confluence Server i Data Center

Bitbucket Server i Data Center

Bamboo Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, otrzymają ją przykładowo następujące wydania:

  • Jira 8.6.x, ponieważ wydanie 8.6.0 zostało udostępnione 17 grudnia 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wydanie ze wsparciem długoterminowym, a wydanie 6.13.0 zostało udostępnione 4 grudnia 2018 roku
  • Bitbucket 6.7.x, ponieważ wydanie 6.7.0 zostało udostępnione 1 października 2019 roku
  • Bamboo 6.10.x, ponieważ wydanie 6.10.2 zostało udostępnione 17 września 2019 roku

Poniżej przedstawiono przykłady wydań, które nie otrzymają wówczas poprawek błędów:

  • Jira 7.6.x, ponieważ 7.6.0 to wydanie ze wsparciem długoterminowym, a wydanie 7.6.0 zostało udostępnione 16 listopada 2017 roku
  • Confluence 6.14.x, ponieważ wydanie 6.14.0 zostało udostępnione 22 stycznia 2019 roku
  • Bitbucket 6.3.x, ponieważ wydanie 6.3.0 zostało udostępnione 14 maja 2019 roku
  • Bamboo 6.9.x, ponieważ wydanie 6.9.0 zostało udostępnione 23 maja 2023 roku

Wszystkie inne produkty (Crucible, Fisheye itd.)

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Crowd została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Crowd 3.7.x, ponieważ to wydanie zostało udostępnione 3 października 2019 roku i jest bieżącym wydaniem
  • Crowd 3.6.x, ponieważ jest to poprzednie wydanie
Produkt

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Desk Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku
Produkt

Confluence Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku
Produkt

Bitbucket Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Produkt

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

Ważne, aby korzystać z najnowszego wydania z poprawkami błędów używanej wersji produktu (jest to najlepsza praktyka). Przykładowo klienci korzystający z rozwiązania Jira Software 7.5.0, powinni proaktywnie dokonać uaktualnienia do wersji Jira Software 7.5.3. W przypadku wydania nowej poprawki zabezpieczeń, np. Jira Software 7.5.4, różnica między dwoma wersjami będzie minimalna (tj. będzie to wyłącznie poprawka zabezpieczeń), co ułatwi jej zastosowanie.

Proces eliminowania krytycznych luk w zabezpieczeniach nie ma zastosowania do produktów Atlassian Cloud, ponieważ poprawki w tych usługach są zawsze wprowadzane przez Atlassian, bez konieczności podejmowania jakichkolwiek działań przez klientów.

Niekrytyczne luki w zabezpieczeniach

W przypadku wykrycia bardzo istotnych, średnio istotnych lub mało istotnych problemów z zabezpieczeniami Atlassian będzie dążyć do wydania poprawki w terminach określonych w docelowych poziomach świadczenia usług wymienionych na początku tego dokumentu. Jeśli jest to wykonalne, możliwe jest również backportowanie poprawki do wersji ze wsparciem długoterminowym.

Po udostępnieniu wydania z poprawką błędu należy uaktualnić instalacje, aby mieć pewność, że zostały zastosowane najnowsze poprawki zabezpieczeń.

Inne informacje

Poziom istotności luk w zabezpieczeniach jest obliczany na podstawie poziomów istotności problemów z zabezpieczeniami.

Będziemy poddawać nasze zasady ciągłej ewaluacji w oparciu o opinie klientów, a na tej stronie będziemy zamieszczać wszelkie aktualności lub zmiany.

Często zadawane pytania

Co to jest „wersja ze wsparciem długoterminowym”? Copy link to heading Copied! Pokaż +
  

Wersje ze wsparciem długoterminowym są przeznaczone dla klientów korzystających z produktów Server i Data Center, którzy wolą poświęcić więcej czasu na przygotowanie się do uaktualnień nowych wersji z funkcjami, ale mimo to chcą otrzymywać poprawki błędów. W przypadku niektórych produktów ich konkretna wersja może być oznaczona jako wersja ze wsparciem długoterminowym, co oznacza, że poprawki zabezpieczeń będą udostępniane przez cały 2-letni okres wsparcia.

Co to jest „wydanie z funkcjami”? Copy link to heading Copied! Pokaż +
  

Wydanie z funkcjami to wersja (np. 4.3), która zawiera nowe funkcje lub istotne zmiany dotychczasowych funkcji, ale nie jest oznaczona jako wersja ze wsparciem długoterminowym. Więcej informacji na temat nazewnictwa naszych wydań zawierają Zasady usuwania błędów Atlassian.

Dlaczego w przypadku Bitbucket, Jira i Confluence obejmujecie tylko 6 miesięcy wydań z funkcjami? Copy link to heading Copied! Pokaż +
  

Wydania Bitbucket Server pojawiają się bardzo często, dlatego w ciągu 6 miesięcy udostępnianych jest 5–6 głównych wersji. Od połowy 2017 roku podobną częstotliwość wydań zastosowano w produktach Jira i Confluence, dla których obecnie nowe wydania są publikowane 5–6 razy w roku.

Dlaczego w przypadku takich produktów, jak Bamboo i Fisheye/Crucible, backportowanie obejmuje tylko jedną poprzednią wersję główną? Copy link to heading Copied! Pokaż +
  

Koncentrujemy nasze wysiłki na produktach Jira, Confluence i Bitbucket Server, jednak w razie zapotrzebowania możemy rozważyć rozszerzenie o dodatkowe główne wersje Bamboo, Fisheye/Crucible oraz innych produktów.