Close

Zasady usuwania błędów zabezpieczeń

Ochrona systemów klienta przed atakami z wykorzystaniem luk w zabezpieczeniach produktów Atlassian jest dla nas sprawą priorytetową.


Zakres

Poniżej opisano, w jaki sposób i kiedy usuwamy błędy zabezpieczeń w naszych produktach. Nie jest to opis pełnego procesu ujawniania lub doradztwa, który stosujemy.

Usuwanie błędów zabezpieczeń — docelowe poziomy świadczenia usług (SLO)

W przypadku wydawania poprawek zabezpieczeń w naszych produktach zdefiniowaliśmy następujące ramy czasowe:

Ramy czasowe usuwania błędów w trybie przyspieszonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich produktów chmurowych Atlassian, a także dowolnego innego oprogramowania lub systemu zarządzanego przez Atlassian bądź działającego w oparciu o infrastrukturę Atlassian.

  • Błędy krytyczne (wynik >= 8 wg CVSS wer. 2, wynik >= 9 wg CVSS wer. 3) — usunięcie z produktu w ciągu 2 tygodni od zgłoszenia
  • Błędy bardzo istotne (wynik >= 6 wg CVSS wer. 2, wynik >=7 wg CVSS wer. 3) — usunięcie z produktu w ciągu 4 tygodni od zgłoszenia
  • Błędy średnio istotne (wynik >= 3 wg CVSS wer. 2, wynik >= 4 wg CVSS wer. 3) — usunięcie z produktu w ciągu 6 tygodni od zgłoszenia
  • Błędy mało istotne (wynik < 3 wg CVSS wer. 2, wynik < 4 wg CVSS wer. 3) — usunięcie z produktu w ciągu 25 tygodni od zgłoszenia

Ramy czasowe usuwania błędów w trybie wydłużonym

Przedstawione poniżej ramy czasowe dotyczą wszystkich samodzielnie zarządzanych produktów Atlassian oraz rozwiązania Jira Align (zarówno w wersji Cloud, jak i w wersjach samodzielnie zarządzanych). Produkt samodzielnie zarządzany jest instalowany przez klientów w systemach przez nich zarządzanych i obejmuje aplikacje serwerowe, do centrów danych, komputerowe i mobilne Atlassian.

  • Błędy krytyczne, bardzo istotne i średnio istotne (wynik >= 3 wg CVSS wer. 2, wynik >= 4 wg CVSS wer. 3) — usunięcie z produktu w ciągu 90 dni od zgłoszenia
  • Błędy mało istotne (wynik < 3 wg CVSS wer. 2, wynik < 4 wg CVSS wer. 3) — usunięcie z produktu w ciągu 180 dni od zgłoszenia

Krytyczne luki w zabezpieczeniach

W przypadku wykrycia przez Atlassian lub zgłoszenia przez stronę trzecią krytycznej luki w zabezpieczeniach, Atlassian podejmie następujące kroki:

  • Możliwie jak najszybciej udostępni nowe, poprawione wydanie bieżącej wersji produktu, którego dotyczy problem.
  • Opublikuje nowe wydanie poprawiające poprzednią wersję zgodnie z następującym schematem:

Produkt
Zasady backportowania
Przykład

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Management Server i Data Center (dawniej Jira Service Desk)

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku

Confluence Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku

Bitbucket Server i Data Center

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem
Produkt

Jira Software Server i Data Center

Jira Core Server i Data Center

Jira Service Desk Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Jira 8.6.x, ponieważ wersja 8.6.0 została wydana 17 grudnia 2019 roku
  • Jira 8.5.x, ponieważ wersja 8.5.0 została wydana 21 października 2019 roku
  • Jira 8.4.x, ponieważ wersja 8.4.0 została wydana 9 września 2019 roku
  • Jira 8.3.x, ponieważ wersja 8.3.0 została wydana 22 lipca 2019 roku
  • Jira 7.13.x, ponieważ 7.13 to wersja ze wsparciem długoterminowym, a wersja 7.13.0 została wydana 28 listopada 2018 roku
Produkt

Confluence Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Confluence 7.2.x, ponieważ wersja 7.2.0 została wydana 12 grudnia 2019 roku
  • Confluence 7.1.x, ponieważ wersja 7.1.0 została wydana 4 listopada 2019 roku
  • Confluence 7.0.x, ponieważ wersja 7.0.0 została wydana 10 września 2019 roku
  • Confluence 6.13.x, ponieważ 6.13 to wersja ze wsparciem długoterminowym, a wersja 6.13.0 została wydana 4 grudnia 2018 roku
Produkt

Bitbucket Server i Data Center

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu dla:

  • Dowolnych wersji oznaczonych jako „wersja ze wsparciem długoterminowym”, dla których okres wsparcia nie dobiegł jeszcze końca.
  • Wszystkich wersji z funkcjami wydanych w ciągu 6 miesięcy od daty udostępnienia poprawki.
Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bitbucket 6.9.x, ponieważ wersja 6.9.0 została wydana 10 grudnia 2019 roku
  • Bitbucket 6.8.x, ponieważ wersja 6.8.0 została wydana 6 listopada 2019 roku
  • Bitbucket 6.7.x, ponieważ wersja 6.7.0 została wydana 1 października 2019 roku
  • Bitbucket 6.6.x, ponieważ wersja 6.6.0 została wydana 27 sierpnia 2019 roku
  • Bitbucket 6.5.x, ponieważ wersja 6.5.0 została wydana 24 lipca 2019 roku

Bitbucket 6.3.0 wydano 14 maja 2019 roku, ponad sześć miesięcy przed datą poprawki. Gdyby ta wersja była oznaczona jako wersja ze wsparciem długoterminowym, utworzono by również wydanie z poprawką błędu.

Produkt

Wszystkie inne produkty (Bamboo, Crucible, Fisheye itd.)

Zasady backportowania

Udostępnienie nowych wydań z poprawką błędu jedynie dla bieżącej i poprzedniej wersji wydania z funkcjami.

Przykład

Przykładowo, jeśli krytyczna poprawka zabezpieczeń dla rozwiązania Bamboo została opracowana 1 stycznia 2020 roku, konieczne będzie utworzenie następujących nowych wydań z poprawką błędu:

  • Bamboo 6.10.x, ponieważ ta wersja została wydana 17 września 2019 roku i jest bieżącym wydaniem
  • Bamboo 6.9.x, ponieważ wersja 6.9.0 jest poprzednim wydaniem

Ważne, aby korzystać z najnowszego wydania z poprawkami błędów używanej wersji produktu (jest to najlepsza praktyka). Przykładowo klienci korzystający z rozwiązania Jira Software 7.5.0, powinni proaktywnie dokonać uaktualnienia do wersji Jira Software 7.5.3. W przypadku wydania nowej poprawki zabezpieczeń, np. Jira Software 7.5.4, różnica między dwoma wersjami będzie minimalna (tj. będzie to wyłącznie poprawka zabezpieczeń), co ułatwi jej zastosowanie.

Proces eliminowania krytycznych luk w zabezpieczeniach nie ma zastosowania do produktów Atlassian Cloud, ponieważ poprawki w tych usługach są zawsze wprowadzane przez Atlassian, bez konieczności podejmowania jakichkolwiek działań przez klientów.

Niekrytyczne luki w zabezpieczeniach

W przypadku wykrycia bardzo istotnych, średnio istotnych lub mało istotnych problemów z zabezpieczeniami Atlassian uwzględni poprawkę w następnym zaplanowanym wydaniu. Jeśli jest to wykonalne, możliwe jest również backportowanie poprawki do wersji ze wsparciem długoterminowym.

Po udostępnieniu wydania z poprawką błędu należy uaktualnić instalacje, aby mieć pewność, że zostały zastosowane najnowsze poprawki zabezpieczeń.

Inne informacje

Poziom istotności luk w zabezpieczeniach jest obliczany na podstawie poziomów istotności problemów z zabezpieczeniami.

Będziemy poddawać nasze zasady ciągłej ewaluacji w oparciu o opinie klientów, a na tej stronie będziemy zamieszczać wszelkie aktualności lub zmiany.

Często zadawane pytania

Co to jest „wersja ze wsparciem długoterminowym”? Pokaż +
  

Wersje ze wsparciem długoterminowym są przeznaczone dla klientów korzystających z produktów Server i Data Center, którzy wolą poświęcić więcej czasu na przygotowanie się do uaktualnień nowych wersji z funkcjami, ale mimo to chcą otrzymywać poprawki błędów. W przypadku niektórych produktów ich konkretna wersja może być oznaczona jako wersja ze wsparciem długoterminowym, co oznacza, że poprawki zabezpieczeń będą udostępniane przez cały 2-letni okres wsparcia.

Co to jest „wydanie z funkcjami”? Pokaż +
  

Wydanie z funkcjami to wersja (np. 4.3), która zawiera nowe funkcje lub istotne zmiany dotychczasowych funkcji, ale nie jest oznaczona jako wersja ze wsparciem długoterminowym. Więcej informacji na temat nazewnictwa naszych wydań zawierają Zasady usuwania błędów Atlassian.

Dlaczego w przypadku Bitbucket, Jira i Confluence obejmujecie tylko 6 miesięcy wydań z funkcjami? Pokaż +
  

Wydania Bitbucket Server pojawiają się bardzo często, dlatego w ciągu 6 miesięcy udostępnianych jest 5–6 głównych wersji. Od połowy 2017 roku podobną częstotliwość wydań zastosowano w produktach Jira i Confluence, dla których obecnie nowe wydania są publikowane 5–6 razy w roku.

Dlaczego w przypadku takich produktów, jak Bamboo i Fisheye/Crucible, backportowanie obejmuje tylko jedną poprzednią wersję główną? Pokaż +
  

Koncentrujemy nasze wysiłki na produktach Jira, Confluence i Bitbucket Server, jednak w razie zapotrzebowania możemy rozważyć rozszerzenie o dodatkowe główne wersje Bamboo, Fisheye/Crucible oraz innych produktów.