Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Продукты
Для команд
Поддержка
Попробовать
Купить
Search Toggle menu
Close search

Планируйте, отслеживайте и оказывайте поддержку

Jira Software

Отслеживание проектов и задач

Jira Align

Agile-планирование в корпоративном масштабе

Jira Work Management

Совместная работа бизнес-команд

Jira Service Management

Высокоскоростное решение для ITSM

Opsgenie

Современное реагирование на инциденты

Statuspage

Сообщения об инцидентах

Сотрудничайте

Confluence

Совместная работа с документами

Trello

Получите наглядное представление совместной работы над любым проектом

Программируйте, разрабатывайте и выпускайте

Bitbucket

Управление кодом в Git

Sourcetree

ПК-клиент Git и Mercurial

Bamboo

Интеграция и управление релизами

БЕЗОПАСНОСТЬ И ИДЕНТИФИКАЦИЯ

Atlassian Access

Безопасность и управление для продуктов Cloud

Crowd

Управление пользователями для самостоятельно созданных сред
Показать все продукты
Close dropdown

По размеру команды

Стартапы

Отличное решение для стартапов — от создания и до первичного размещения акций

Малый бизнес

Воспользуйтесь инструментами, подходящими для растущего бизнеса

Корпорация

Узнайте, как мы помогаем большим командам достичь успеха

По профилю команды

Программное обеспечение

Планируйте, разрабатывайте и выпускайте качественные продукты

Маркетинг

Вместе создавайте успешную стратегию

HR

Оптимизируйте управление кадрами

Юриспруденция

Работайте надежно и безопасно

Операции

Ведите работу эффективно

ИТ

Предоставляйте качественное обслуживание и поддержку

Финансы

Упрощайте финансовые операции

Реагирование на инциденты

Реагируйте на инциденты, устраняйте последствия и формируйте ценные выводы
Показать все продукты
Close dropdown

РЕСУРСЫ

Документация

Руководства ко всем нашим продуктам

Переход в облако

Изменения в продуктах Server и Data Center

Центр миграции в облако

Инструменты и руководства для миграции

Дорожная карта развития облака

Ожидаемые функциональные обновления

Покупка и лицензирование

Часто задаваемые вопросы о наших политиках

Сервисы поддержки

Сервисы Enterprise

Индивидуальная поддержка для больших команд

Поддержка партнеров

Доверенные сторонние консультанты

Поддержка Atlassian

Центр ресурсов для команд и администраторов

Узнать больше или связаться с нами

О компании

Наша миссия и история

Вакансии

Вакансии, ценности и многое другое

Atlassian University

Обучение и сертификация для всех уровней квалификации

Сообщество Atlassian

Форум для общения, совместной работы и обучения
Все варианты поддержки
Close dropdown

Правила исправления ошибок, связанных с безопасностью

Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.

Область действия

Далее описываются установленные компанией Atlassian способы и сроки устранения багов безопасности. В данной статье не приводится описание всего процесса разглашения содержания проблемы или процесса разработки советов по обеспечению безопасности, которым мы следуем.

Целевой уровень обслуживания (SLO) при устранении багов безопасности

Мы определили следующие временные отрезки для исправления проблем с безопасностью в наших продуктах.

Укороченные временные отрезки

Эти временные отрезки применяются ко всем облачным продуктам Atlassian и любому другому программному обеспечению или системе, которыми управляет Atlassian или которые работают в инфраструктуре Atlassian.

  • Баги критической степени серьезности (балл по CVSS v2 >= 8, балл по CVSS v3 >= 9) должны исправляться за 2 недели с момента отправки сообщения.
  • Баги высокой степени серьезности (балл по CVSS v2 >= 6, балл по CVSS v3 >= 7) должны исправляться за 4 недели с момента отправки сообщения.
  • Баги средней степени серьезности (балл по CVSS v2 >= 3, балл по CVSS v3 >= 4) должны исправляться за 6 недель с момента отправки сообщения.
  • Баги низкой степени серьезности (балл по CVSS v2 < 3, балл по CVSS v3 < 4) должны исправляться за 25 недель с момента отправки сообщения.

Расширенные временные отрезки

Эти временные отрезки применяются ко всем продуктам Atlassian, предназначенным для самостоятельного управления, а также Jira Align (как для версии Cloud, так и для версии для самостоятельного управления). Продукт для самостоятельного управления устанавливается клиентами в управляемых заказчиком системах и включает приложения Atlassian версий Server, Data Center, а также настольные и мобильные приложения.

  • Баги критической, высокой и средней степени серьезности (балл по CVSS v2 >= 3, балл по CVSS v3 >= 4) должны исправляться за 90 дней с момента отправки сообщения.
  • Баги низкой степени серьезности (балл по CVSS v2 < 3, балл по CVSS v3 < 4) должны исправляться за 180 дней с момента отправки сообщения.

Критические уязвимости

При обнаружении компанией Atlassian критической уязвимости безопасности или при получении сообщения о таковой от третьего лица компания Atlassian выполнит все следующие действия.

  • Выпустит новый исправленный релиз для текущей версии затронутого продукта в максимально короткий срок.
  • Выпустит новый релиз технического обслуживания для предыдущей версии описанным ниже образом.

Продукт
Правила обновления прошлых релизов
Пример

Jira Software Server и Data Center

Jira Core Server и Data Center

Jira Service Management Server и Data Center (ранее — Jira Service Desk)

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Jira 8.6.x, поскольку версия 8.6.0 была выпущена 17 декабря 2019 г.;
  • Jira 8.5.x, поскольку версия 8.5.0 была выпущена 21 октября 2019 г.;
  • Jira 8.4.x, поскольку версия 8.4.0 была выпущена 9 сентября 2019 г.;
  • Jira 8.3.x, поскольку версия 8.3.0 была выпущена 22 июля 2019 г.;
  • Jira 7.13.x, поскольку 7.13 — это версия с долгосрочной поддержкой, а версия 7.13.0 была выпущена 28 ноября 2018 г.

Confluence Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Confluence 7.2.x, поскольку версия 7.2.0 была выпущена 12 декабря 2019 г.;
  • Confluence 7.1.x, поскольку версия 7.1.0 была выпущена 4 ноября 2019 г.;
  • Confluence 7.0.x, поскольку версия 7.0.0 была выпущена 10 сентября 2019 г.;
  • Confluence 6.13.x, поскольку 6.13 — это версия с долгосрочной поддержкой, а версия 6.13.0 была выпущена 4 декабря 2018 г.

Bitbucket Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bitbucket 6.9.x, поскольку версия 6.9.0 была выпущена 10 декабря 2019 г.;
  • Bitbucket 6.8.x, поскольку версия 6.8.0 была выпущена 6 ноября 2019 г.;
  • Bitbucket 6.7.x, поскольку версия 6.7.0 была выпущена 1 октября 2019 г.;
  • Bitbucket 6.6.x, поскольку версия 6.6.0 была выпущена 27 августа 2019 г.;
  • Bitbucket 6.5.x, поскольку версия 6.5.0 была выпущена 24 июля 2019 г.

Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного фикса. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс.

Все остальные продукты (Bamboo, Crucible, Fisheye и т. д.)

Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов.

Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bamboo 6.10.x, поскольку это текущая версия и она была выпущена 17 сентября 2019 г.;
  • Bamboo 6.9.x, поскольку версия 6.9.0 является предыдущей версией.
Продукт

Jira Software Server и Data Center

Jira Core Server и Data Center

Jira Service Desk Server и Data Center
Правила обновления прошлых релизов

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.
Пример

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Jira 8.6.x, поскольку версия 8.6.0 была выпущена 17 декабря 2019 г.;
  • Jira 8.5.x, поскольку версия 8.5.0 была выпущена 21 октября 2019 г.;
  • Jira 8.4.x, поскольку версия 8.4.0 была выпущена 9 сентября 2019 г.;
  • Jira 8.3.x, поскольку версия 8.3.0 была выпущена 22 июля 2019 г.;
  • Jira 7.13.x, поскольку 7.13 — это версия с долгосрочной поддержкой, а версия 7.13.0 была выпущена 28 ноября 2018 г.
Продукт

Confluence Server и Data Center
Правила обновления прошлых релизов

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.
Пример

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Confluence 7.2.x, поскольку версия 7.2.0 была выпущена 12 декабря 2019 г.;
  • Confluence 7.1.x, поскольку версия 7.1.0 была выпущена 4 ноября 2019 г.;
  • Confluence 7.0.x, поскольку версия 7.0.0 была выпущена 10 сентября 2019 г.;
  • Confluence 6.13.x, поскольку 6.13 — это версия с долгосрочной поддержкой, а версия 6.13.0 была выпущена 4 декабря 2018 г.
Продукт

Bitbucket Server и Data Center
Правила обновления прошлых релизов

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.
Пример

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bitbucket 6.9.x, поскольку версия 6.9.0 была выпущена 10 декабря 2019 г.;
  • Bitbucket 6.8.x, поскольку версия 6.8.0 была выпущена 6 ноября 2019 г.;
  • Bitbucket 6.7.x, поскольку версия 6.7.0 была выпущена 1 октября 2019 г.;
  • Bitbucket 6.6.x, поскольку версия 6.6.0 была выпущена 27 августа 2019 г.;
  • Bitbucket 6.5.x, поскольку версия 6.5.0 была выпущена 24 июля 2019 г.

Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного фикса. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс.
Продукт

Все остальные продукты (Bamboo, Crucible, Fisheye и т. д.)
Правила обновления прошлых релизов

Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов.
Пример

Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bamboo 6.10.x, поскольку это текущая версия и она была выпущена 17 сентября 2019 г.;
  • Bamboo 6.9.x, поскольку версия 6.9.0 является предыдущей версией.

Рекомендуется всегда устанавливать последний релиз вашего продукта с исправлениями багов. Например, если вы используете приложение Jira Software версии 7.5.0, его следует обновить до версии 7.5.3. Когда выйдет новое исправление багов, например Jira Software версии 7.5.4, разница между двумя версиями будет минимальна (лишь исправление отдельных проблем безопасности), обновление будет легко применить.

Процесс устранения критических уязвимостей не распространяется на продукты Atlassian Cloud, так как для них компания Atlassian применяет исправления самостоятельно, без участия клиентов.

Некритические уязвимости

В случае обнаружения проблемы с высоким, средним или низким уровнем опасности Atlassian включит фикс в состав следующего планового релиза. При возможности фикс также будет адаптирован для версий с долгосрочной поддержкой.

Как только исправление багов становится доступным, рекомендуется обновлять установленные у вас продукты, чтобы устранять все проблемы безопасности, решаемые этим релизом.

Прочая информация

Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни опасности задач, связанных с безопасностью.

Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице.

Часто задаваемые вопросы

Что значит «версия с долгосрочной поддержкой»? Показать +
  

Версии с долгосрочной поддержкой предназначены для пользователей продуктов Server и Data Center, которым нужно больше времени, чтобы подготовиться к функциональным обновлениям. При этом они не собираются отказываться от багфиксов. У некоторых продуктов статус версии с долгосрочной поддержкой присваивается определенной версии. Клиенты, выбравшие такую версию, получат доступ к фиксам проблем безопасности, которые будут выпускаться в течение всего двухлетнего периода предоставления поддержки.
Что значит «функциональное обновление»? Показать +
  

Функциональное обновление — это версия (например, 4.3), которая содержит новые возможности или значительно изменяет существующие, но не считается версией с долгосрочной поддержкой. Подробнее о принятой в нашей компании системе наименования релизов см. в правилах багфиксов Atlassian.
Почему исправления для Bitbucket, Jira и Confluence применяются только к тем функциональным обновлениям, которые вышли не ранее чем за шесть месяцев до выпуска исправления? Показать +
  

Версии Bitbucket Server выходят очень часто — за шесть месяцев выходит 5–6 основных версий. С середины 2017 года обновления Jira и Confluence выпускаются по схожему графику. Их новые версии выходят 5–6 раз в год.
Почему исправления для других продуктов, таких как Bamboo и Fisheye/Crucible, применяются лишь к одной предыдущей основной версии? Показать +
  

Мы уделяем основное внимание Jira, Confluence и Bitbucket Server, но в будущем мы, возможно, будем расширять исправления для Bamboo, Fisheye/Crucible и других продуктов на большее число основных версий, если в этом будут заинтересованы клиенты.