Close
Czy wyświetlić tę stronę w Twoim języku?
Wszystkie języki
Wybierz swój język
Produkty

Polecane

Jira Software

Śledzenie projektów i zgłoszeń

Confluence

Współpraca przy tworzeniu treści

Jira Service Management

ITSM o dużej prędkości

Trello

Wizualne zarządzanie projektami

Zobacz wszystkie produkty

Marketplace

Korzystaj z tysięcy aplikacji i narzędzi integracji do wszystkich Twoich produktów Atlassian

Close dropdown
Rozwiązania

Polecane

Zarządzanie pracą

Zarządzaj projektami i koordynuj cele we wszystkich zespołach, aby dostarczać wymagane elementy

Zarządzanie usługami IT

Umożliwiaj zespołom deweloperskim, ds. eksploatacji IT i biznesowym dostarczanie doskonałych usług z dużą szybkością

Agile i DevOps

Zarządzaj światowej klasy organizacją programistyczną Agile — od odkrywania po dostarczanie i eksploatację

Według wielkości zespołu

Enterprise

Małe firmy

Startup

Organizacje non-profit

Według funkcji zespołu

Tworzenie oprogramowania

IT

Finanse

Marketing

HR

Według branży

Handel detaliczny

Telekomunikacja

Usługi specjalistyczne

Administracja publiczna

Close dropdown
Zasoby

Uczenie się

Atlassian University

Porady strategiczne Atlassian

Dokumentacja produktu

Zasoby dla programistów

Wsparcie

Społeczność Atlassian

Wsparcie Atlassian

Atlassian Migration Program

Usługi Enterprise

Wsparcie dla partnerów

Zakup licencji

Łączność

O nas

Kariera

Blog Work Life

Wydarzenia

Close dropdown
Search
Wypróbuj teraz
Toggle menu
Close search

Oceny zabezpieczeń

Reguły Atlassian dotyczące testowania zabezpieczeń produktów chmurowych

Klienci Atlassian mogą przeprowadzać oceny zabezpieczeń swoich Produktów Atlassian Cloud (zdefiniowanych poniżej) bez uprzedniej zgody. Pojęcie „ocena zabezpieczeń” odnosi się do dowolnej aktywności mającej na celu określenie, ewaluację lub przetestowanie funkcji i środków kontroli bezpieczeństwa produktów i usług Atlassian (na przykład testów penetracyjnych i skanowania pod kątem luk w zabezpieczeniach). Na tej stronie omówiono zasady („Zasady testów zabezpieczeń”) obowiązujące klientów, którzy chcą przeprowadzić ocenę zabezpieczeń swoich Produktów Atlassian Cloud. Platforma Atlassian do obsługi Produktów Cloud („Platforma Atlassian Cloud”) wykorzystuje współdzieloną infrastrukturę do hostowania Produktów Cloud należących do użytkownika oraz do innych klientów. Podczas przeprowadzania oceny zabezpieczeń należy zachować ostrożność, aby ograniczyć działania do własnych instancji lub Produktów Cloud i uniknąć niezamierzonego wpływu na innych klientów.

Podczas przeprowadzania oceny zabezpieczeń należy zawsze przestrzegać Zasad testów zabezpieczeń Atlassian omówionych szczegółowo na tej stronie. Korzystanie z Produktów Cloud nadal będzie podlegać Umowie z klientem firmy Atlassian lub innym stosownym warunkom i postanowieniom umów (zwanym zbiorczo „Warunkami świadczenia usług”), na mocy których dokonano zakupu danych Produktów Cloud. Każde naruszenie tych Zasad testów zabezpieczeń lub właściwych Warunków świadczenia usług może doprowadzić do zawieszenia lub zamknięcia konta użytkownika i/lub podjęcia przeciw niemu działań prawnych. Użytkownik odpowiada za wszelkie szkody spowodowane na Platformie Atlassian Cloud lub jakiekolwiek negatywne skutki w odniesieniu do danych innych klientów bądź użytkowania Platformy Atlassian Cloud wynikające z naruszenia tych Zasad testów zabezpieczeń lub Warunków świadczenia usług.

Produkty Cloud objęte możliwością przeprowadzenia ocen zabezpieczeń

Na potrzeby niniejszych Zasad testów zabezpieczeń pojęcie „Produkty Cloud” będzie odnosiło się do następujących produktów:

  • Jira Software
  • Jira Service Management
  • Jira Align
  • Jira Work Management
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie
  • Halp

Zasady testów zabezpieczeń

Dopuszczalne działania

  • Ocenę zabezpieczeń mogą przeprowadzać wyłącznie klienci Atlassian posiadający subskrypcję wymienionych powyżej Produktów Cloud zakwalifikowanych do takich działań.
  • Ocenie zabezpieczeń można poddawać wyłącznie własne instancje Produktów Cloud, zgodnie z zasadami dotyczącymi ocen zabezpieczeń, w tym z niniejszymi Zasadami testów zabezpieczeń.
  • Do przeprowadzania oceny zabezpieczeń można wykorzystać zautomatyzowane narzędzia/skanery, należy jednak pamiętać, że sami również korzystamy z tych narzędzi. Wszelkie wyniki wygenerowane przez zautomatyzowany skaner muszą zostać sprawdzone i sklasyfikowane przez zespół ds. bezpieczeństwa klienta, zanim zostaną przekazane Atlassian wraz z działającą, możliwą do odtworzenia weryfikacją koncepcji. Nie przyjmujemy niesklasyfikowanych wyników ze skanerów zabezpieczeń.

Działania zabronione

  • Skanowanie i testowanie Produktów Cloud, instancji lub zasobów nienależących do użytkownika, w tym tych, które należą do innych klientów Atlassian, bądź uzyskiwanie do nich dostępu.
  • Celowe uzyskiwanie dostępu do jakichkolwiek danych innych klientów (w tym uzyskiwanie dostępu do dowolnych poświadczeń klientów lub korzystanie z takich poświadczeń).
  • Przeprowadzanie ataków nietechnicznych (a w szczególności ataków opartych na inżynierii społecznej, phishingu lub nieuprawnionym dostępie do infrastruktury).
  • Przeprowadzanie ataków ukierunkowanych na zabezpieczenia fizyczne (a w szczególności biura, sprzęt, pracowników Atlassian itp.).
  • Testowanie produktów spoza zakresu.
  • Atakowanie infrastruktury korporacyjnej Atlassian.
  • Blokowanie usług poprzez ataki typu Denial of Service (DoS), Distributed Denial of Service (DDoS), Simulated DoS, Simulated DDoS.
  • Przeprowadzanie ataków typu Port Flooding.
  • Przeprowadzanie ataków typu Protocol Flooding.
  • Przeprowadzanie ataków typu Request Flooding (zalewania żądaniami logowania lub żądaniami API).
  • Przesyłanie niesklasyfikowanych raportów ze skanera do wykrywania luk w zabezpieczeniach lub aplikacji do oceny zabezpieczeń.

Zgłaszanie błędów

Jeśli uważasz, że udało Ci się wykryć potencjalny błąd w zabezpieczeniach związany z Produktami Atlassian Cloud lub inną usługą Atlassian, zobowiązujesz się zgłosić ją w ciągu 24 godzin zgodnie z tymi instrukcjami: Zgłaszanie luki w zabezpieczeniach. Swoje wyniki możesz przesłać również do naszego programu wykrywania błędów. Należy jednak pamiętać, że wyniki ze zautomatyzowanych skanerów nie będą przyjmowane. Po przesłaniu zgłoszenia nie wolno Ci ujawnić błędu publicznie bez uprzedniego uzyskania naszego zezwolenia. Wyniki ocen zabezpieczeń są uznawane za informacje poufne Atlassian. Atlassian będzie rozpatrywać wnioski o publiczne ujawnienie indywidualnie dla każdego zgłoszenia. Wnioski o publiczne ujawnienie błędu, który nie został jeszcze usunięty dla klientów, będą odrzucane.

Warunki dodatkowe

Celowe podejmowanie prób uzyskania dostępu do danych innych klientów Atlassian jest surowo zabronione. Jeśli jednak uważasz, że udało Ci się znaleźć dane wrażliwe klienta (np. poświadczenia logowania, klucze API itp.) lub sposób umożliwiający uzyskanie dostępu do tych danych (np. w wyniku istnienia luki w zabezpieczeniach), musisz niezwłocznie zgłosić ten fakt do działu wsparcia Atlassian bez podejmowania jakichkolwiek prób potwierdzenia luki w zabezpieczeniach lub uzyskania innego rodzaju dostępu do konta lub danych klienta.

Niezależnie od przysługujących Atlassian praw do zawieszenia lub zamknięcia konta użytkownika, w przypadku naruszenia przez użytkownika niniejszych Zasad testów zabezpieczeń Atlassian zastrzega sobie prawo do reagowania na wszelkie działania podejmowane w sieciach Atlassian, które mogą wydawać się złośliwe lub stwarzać innego rodzaju zagrożenie. Jeśli Atlassian otrzyma zgłoszenie o nadużyciu w związku z przeprowadzaną przez Ciebie oceną zabezpieczeń, może dodać Twój adres IP lub zakres adresów IP do listy blokowanych. Kontaktując się z działem wsparcia Atlassian w celu usunięcia ograniczeń, musisz podać przyczynę źródłową podjęcia zgłoszonego działania oraz opisać szczegółowo środki podjęte w celu zapobieżenia ponownemu wystąpieniu zgłaszanego błędu.

Opcjonalnie możesz powiadomić zespół ds. bezpieczeństwa Atlassian o planowanym przeprowadzeniu oceny zabezpieczeń, przesyłając do działu wsparcia Atlassian zgłoszenie z tematem: Intent for Security Assessment (Zamiar przeprowadzenia oceny zabezpieczeń). W zgłoszeniu należy zawrzeć datę i zakres godzinowy testu, źródłowy adres IP lub zakres źródłowych adresów IP, domeny docelowe oraz dane kontaktowe. Uprzednie powiadomienie nie jest wymagane, jednak pomoże nam ono rozpoznać test, abyśmy nie aktywowali blokady sieciowej, która może spowodować unieważnienie testów.

Partnerzy i sprzedawcy Produktów Atlassian Cloud odpowiadają za działania podejmowane przez ich klientów w ramach oceny zabezpieczeń.

Chcesz pogłębić swoją wiedzę?

Jak powinno wyglądać zgłoszenie luki w zabezpieczeniach?

Nasze podejście do zewnętrznych testów zabezpieczeń

Nasze podejście do zarządzania lukami w zabezpieczeniach

Program wykrywania błędów Atlassian