Close

Zgłaszanie luki w zabezpieczeniach


Jeśli uważasz, że udało Ci się wykryć problem z bezpieczeństwem zgodny z definicją luki w zabezpieczeniach Atlassian, prześlij zgłoszenie do naszego zespołu ds. bezpieczeństwa, korzystając z jednego z poniższych sposobów:

Jeśli jesteś klientem:

Jeśli jesteś badaczem zabezpieczeń:

Do otrzymania nagrody kwalifikują się wyłącznie te luki w zabezpieczeniach, które zostały zgłoszone za pośrednictwem naszego programu wykrywania błędów.

W swoim zgłoszeniu uwzględnij następujące informacje:

  • rodzaj problemu (Cross-site Scripting, SQL Injection, zdalne wykonanie kodu itp.);
  • produkt zawierający błąd, łącznie z wersją, lub adres URL w przypadku usługi w chmurze;
  • potencjalny wpływ luki w zabezpieczeniach (tj. do jakich danych można uzyskać dostęp lub jakie dane można modyfikować);
  • instrukcje odtworzenia problemu krok po kroku;
  • dowolna weryfikacja koncepcji lub kod programu wykorzystującego luki wymagany do odtworzenia problemu.

Jeśli chcesz zaszyfrować swoje zgłoszenie za pomocą naszego klucza PGP, możesz go pobrać tutaj.

Nie jesteśmy w stanie reagować na zbiorcze raporty generowane przez zautomatyzowane skanery. Jeśli wykryjesz problemy przy użyciu zautomatyzowanego skanera, zalecamy przed przesłaniem zgłoszenia o luce w zabezpieczeniach do Atlassian zlecenie ich analizy specjaliście ds. bezpieczeństwa, aby się upewnić, że wyniki faktycznie są istotne.

Definicja luki w zabezpieczeniach

Pod pojęciem luki w zabezpieczeniach Atlassian rozumie podatność jednego ze swoich produktów lub infrastruktury, która może pozwolić autorowi ataku wpłynąć na poufność, integralność lub dostępność produktu bądź infrastruktury.

Jako luki w zabezpieczeniach nie są traktowane następujące rodzaje odkryć:

  • Obecność lub brak nagłówków HTTP (X-Frame-Options, CSP, nosniff itp.). Są one uznawane za najlepsze praktyki w zakresie bezpieczeństwa, dlatego nie klasyfikujemy ich jako luk w zabezpieczeniach.
  • Brak atrybutów związanych z bezpieczeństwem w plikach cookie zawierających dane inne niż wrażliwe. Produkty Atlassian mogą ustawiać określone atrybuty związane z bezpieczeństwem w plikach cookie używanych w naszych aplikacjach. Braku takich nagłówków w plikach cookie zawierających dane inne niż wrażliwe nie uznaje się za lukę w zabezpieczeniach.
  • Uwidocznione ślady stosu. Ślady stosu same w sobie nie stanowią problemu z bezpieczeństwem. Jeśli stwierdzisz, że ślad stosu zawiera identyfikowalne dane osobowe lub treść wygenerowaną przez użytkownika, prześlij zgłoszenie, opisując szczegółowo problem.
  • Spoofing zawartości przez użytkowników administracyjnych. Zezwalamy administratorom na iniekcję kodu HTML do określonych obszarów naszych produktów w ramach ich dostosowywania, a funkcji tej nie traktujemy jako luki w zabezpieczeniach.
  • Clickjacking na stronach w Jira Server lub stronach zawierających wyłącznie zawartość statyczną. Aby uzyskać więcej informacji, zobacz https://jira.atlassian.com/browse/JRASERVER-25143.
  • Włączona lub wyłączona funkcja autouzupełniania.

Program wykrywania błędów

Atlassian prowadzi publiczny program wykrywania błędów w naszych produktach za pośrednictwem platformy naszego partnera — Bugcrowd. W ramach naszych programów badacze zabezpieczeń mogą otrzymać wynagrodzenie pieniężne w zamian za przesłanie do Atlassian spełniającego kryteria zgłoszenia o luce w zabezpieczeniach.

Publiczne ujawnianie

Dla Atlassian sprawą priorytetową jest usunięcie wszelkich luk w zabezpieczeniach naszych produktów w czasie określonym w naszych zasadach usuwania błędów zabezpieczeń. Aby chronić naszych klientów, przestrzegamy skoordynowanych procedur ujawniania luk w zabezpieczeniach i zwracamy się z prośbą do osób zgłaszających luki o postępowanie w ten sam sposób.