Close

Правила исправления ошибок, связанных с безопасностью

Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.


Область действия

В этой политике описывается, как и когда мы можем устранять уязвимости безопасности в наших продуктах.

Целевой уровень обслуживания (SLO) при исправлении багов безопасности

Компания Atlassian задает цели по уровню обслуживания для исправления уязвимостей в защите в зависимости от уровня серьезности для безопасности и затронутого продукта. Мы определили следующие временные отрезки для исправления проблем безопасности в наших продуктах.

Цели ускоренного решения проблем

Эти сроки распространяются:

  • на все облачные продукты Atlassian;
  • на любое ПО или систему, которыми управляет Atlassian;
  • на любое ПО или систему, которые работают в инфраструктуре Atlassian;
  • на Jira Align как облачной версии, так и версии с самостоятельным управлением.

В зависимости от уровня опасности уязвимости после проверки мы установили следующие сроки внесения исправлений в продукт:

  • Критический уровень — необходимо исправить за 10 дней
  • Высокий уровень — необходимо исправить за 28 дней
  • Средний уровень — необходимо исправить за 84 дня
  • Низкий уровень — необходимо исправить за 175 дней

Расширенные временные отрезки

Эти целевые временные отрезки применяются ко всем продуктам и мобильным приложениям Atlassian Data Center. Клиенты устанавливают продукты Data Center в системах под собственным управлением.

  • Уязвимости критического, высокого и среднего уровня опасности необходимо исправить в течение 90 дней после проведения проверки.
  • Уязвимости низкого уровня опасности необходимо исправить в течение 180 дней после проведения проверки.

Принцип общей ответственности

Компания Atlassian стремится поставлять безопасные продукты, однако мы также полагаемся на принцип общей ответственности. Этот принцип требует от клиентов внедрения практик, которые сохраняются после развертывания и распространяются на этапы эксплуатации. Перечислим некоторые из этих обязанностей.

  • Использование ПО Atlassian в частных сетях.
  • Обеспечение своевременного внедрения исправлений проблем с безопасностью по мере их выпуска.
  • Настройка брандмауэров веб-приложений (WAF), сетей VPN, многофакторной аутентификации и системы единого входа.
  • Внедрение шифрования и средств контроля доступа.
  • Регулярное резервное копирование.
  • Проведение регулярных аудитов безопасности.

Критические уязвимости

При обнаружении компанией Atlassian критической уязвимости или при получении сообщения о таковой от третьего лица компания Atlassian предпринимает следующие действия.

  • Для продуктов Cloud мы выпускаем новую исправленную версию соответствующего продукта как можно скорее.
  • Для продуктов с самостоятельным управлением мы:
    • выпускаем релиз с исправлением багов для последней функциональной версии затронутого продукта;
    • выпускаем новый функциональный релиз для соответствующего продукта в соответствии с графиком релизов;
    • выпускаем релиз с исправлением багов для всех поддерживаемых версий соответствующего продукта c долгосрочной поддержкой в соответствии с Правилами Atlassian относительно прекращения поддержки.

Продукт
Правила обновления прошлых релизов
Пример

Jira Software Server и Data Center

Jira Server и Data Center

Jira Service Management Server и Data Center (ранее — Jira Service Desk)

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Jira 8.6.x, поскольку версия 8.6.0 была выпущена 17 декабря 2019 г.;
  • Jira 8.5.x, поскольку версия 8.5.0 была выпущена 21 октября 2019 г.;
  • Jira 8.4.x, поскольку версия 8.4.0 была выпущена 9 сентября 2019 г.;
  • Jira 8.3.x, поскольку версия 8.3.0 была выпущена 22 июля 2019 г.;
  • Jira 7.13.x, поскольку 7.13 — это версия с долгосрочной поддержкой, а версия 7.13.0 была выпущена 28 ноября 2018 г.

Confluence Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Confluence 7.2.x, поскольку версия 7.2.0 была выпущена 12 декабря 2019 г.;
  • Confluence 7.1.x, поскольку версия 7.1.0 была выпущена 4 ноября 2019 г.;
  • Confluence 7.0.x, поскольку версия 7.0.0 была выпущена 10 сентября 2019 г.;
  • Confluence 6.13.x, поскольку 6.13 — это версия с долгосрочной поддержкой, а версия 6.13.0 была выпущена 4 декабря 2018 г.

Bitbucket Server и Data Center

Выпуск новых исправлений багов для:

  • любых версий с долгосрочной поддержкой, срок которой не истек;
  • всех функциональных обновлений, выпущенных в течение 6 месяцев до выхода исправления.

Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bitbucket 6.9.x, поскольку версия 6.9.0 была выпущена 10 декабря 2019 г.;
  • Bitbucket 6.8.x, поскольку версия 6.8.0 была выпущена 6 ноября 2019 г.;
  • Bitbucket 6.7.x, поскольку версия 6.7.0 была выпущена 1 октября 2019 г.;
  • Bitbucket 6.6.x, поскольку версия 6.6.0 была выпущена 27 августа 2019 г.;
  • Bitbucket 6.5.x, поскольку версия 6.5.0 была выпущена 24 июля 2019 г.

Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного исправления. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс.

Все остальные продукты (Bamboo, Crucible, Fisheye и т. д.)

Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов.

Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:

  • Bamboo 6.10.x, поскольку это текущая версия и она была выпущена 17 сентября 2019 г.;
  • Bamboo 6.9.x, поскольку версия 6.9.0 является предыдущей версией.

Для Crowd, Fisheye и Crucible мы выпускаем релиз с исправлением багов в последней функциональной версии соответствующего продукта.

Примеры исправлений критических уязвимостей для продуктов с самостоятельным управлением.

Если исправление критических уязвимостей выходит 01.02.2024, необходимо выпустить следующие новые версии с исправлениями багов:

Продукт

Пример

Jira Software

Пример

Jira Software 9.13.x, поскольку 9.13.0 — это последний функциональный релиз.

Пример

Jira Software 9.12.x, поскольку 9.12.0 — это последний релиз с долгосрочной поддержкой.

Пример

Jira Software 9.4.x, поскольку 9.4.0 — это предыдущий релиз с долгосрочной поддержкой.

Jira Service Management

Пример

Jira Service Management 5.13.x, поскольку 5.13.0 — это последний функциональный релиз.

Пример

Jira Service Management 5.12.x, поскольку 5.12.0 — это последний релиз с долгосрочной поддержкой.

Пример

Jira Service Management 5.4.x, поскольку 5.4.0 — это предпоследний релиз с долгосрочной поддержкой.

Confluence

Пример

Confluence 8.7.x, поскольку 8.7.0 — это последний функциональный релиз.

Пример

Confluence 8.5.x, поскольку 8.5.0 — это последний релиз с долгосрочной поддержкой.

Пример

Confluence 7.19.x, поскольку 7.19.0 — это предпоследний релиз с долгосрочной поддержкой.

Bitbucket

Пример

Bitbucket 8.17.x, поскольку 8.17.0 — это последний функциональный релиз.

Пример

Bitbucket 8.9.x, поскольку 8.9.0 — это последний релиз с долгосрочной поддержкой.

Пример

Bitbucket 7.21.x, поскольку 7.21.0 — это предпоследний релиз с долгосрочной поддержкой.

Bamboo

Пример

Bamboo 9.5.x, поскольку 9.5.0 — это последний функциональный релиз.

Пример

Bamboo 9.2.x, поскольку 9.2.0 — это последний релиз с долгосрочной поддержкой.

Crowd

Пример

Crowd 5.3.x, поскольку 5.3.0 — это последний функциональный релиз.

Fisheye/Crucible

Пример

Fisheye/Crucible 4.8.x, поскольку 4.8.0 — это последний функциональный релиз.

Никакие другие версии продукта не получат новых исправлений багов.

Частые обновления обеспечивают безопасность экземпляров вашего продукта. Рекомендуется использовать последний релиз с исправлением багов в последней функциональной версии вашего продукта или релизе c долгосрочной поддержкой.

Некритические уязвимости

В случае обнаружения проблемы безопасности с высоким, средним или низким уровнем опасности Atlassian включит в состав следующего планового релиза исправление согласно целям по уровню обслуживания, перечисленным в начале этого документа. По возможности исправление также будет адаптировано для релизов с долгосрочной поддержкой. Возможность адаптации исправления зависит от множества факторов (в частности, от зависимостей ПО, архитектурных изменений, проблем совместимости и других).

Чтобы убедиться, что установленные приложения содержат последние исправления безопасности, обновляйте их каждый раз, когда будет доступна версия с исправлением багов.

Прочая информация

Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни серьезности для проблем безопасности.

Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице.

Часто задаваемые вопросы

Что такое принцип общей ответственности? Copy link to heading Copied! Показать +
  

Соглашение между таким поставщиком, как Atlassian, и его клиентами о внедрении рекомендуемых практик, которые сохраняются после первоначального развертывания и распространяются на этапы эксплуатации. Для получения дополнительной информации ознакомьтесь со списком задач и общей ответственностью за обеспечение безопасности Data Center.

Что значит «релиз с долгосрочной поддержкой», такой как Jira Software 10.3 LTS? Copy link to heading Copied! Показать +
  

Релизы с долгосрочной поддержкой предназначены для пользователей продуктов Data Center, которым требуется больше времени, чтобы перейти к новым функциональным релизам, и нужны исправления багов. У некоторых продуктов определенной версии будет присвоен статус релиза с долгосрочной поддержкой, означающий, что исправления багов безопасности для нее будут предоставляться в течение всего двухлетнего периода поддержки.

Что значит «функциональный релиз», такой как Jira Software 10.1? Copy link to heading Copied! Показать +
  

Функциональный релиз — это версия, которой не был присвоен статус релиза с долгосрочной поддержкой. В таком релизе вводятся или удаляются функции либо производятся изменения поддерживаемых платформ (например, баз данных, операционных систем, версий Git).

Узнайте больше о политике Atlassian по исправлению багов.

Что такое релиз с исправлением багов, такой как Jira Software 10.2.1? Copy link to heading Copied! Показать +
  

Релизы с исправлениями багов могут включать улучшения стабильности и производительности, а также исправление багов функциональности и уязвимостей безопасности. В зависимости от характера исправлений они могут внести незначительные изменения в существующие функции. Однако такие релизы не содержат новых функций или изменений с высоким риском, поэтому внедрить их можно быстро. Мы рекомендуем оперативно обновлять приложения до последнего релиза с исправлением багов.

Что такое поддерживаемый релиз? Copy link to heading Copied! Показать +
  

Atlassian поддерживает релизы в течение двух лет после выпуска первого функционального релиза или релиза с долгосрочной поддержкой (LTS). Например, мы предоставляем техническую поддержку Jira Software 9.14.x в течение двух лет с момента выпуска Jira 9.14.0.

Что такое уязвимость? Copy link to heading Copied! Показать +
  

Уязвимость — это слабость или недостаток, которые могут быть использованы в рамках ситуации с определенной угрозой или риском. В контексте кибербезопасности уязвимость может представлять собой недостаток программного обеспечения, сети или системы, который позволяет неавторизованным пользователям получать доступ или наносить ущерб. К таким недостаткам относятся устаревшее программное обеспечение, ненадежные пароли или отсутствие шифрования данных.

Что такое исправление бага безопасности? Copy link to heading Copied! Показать +
  

Исправление бага безопасности — это набор изменений, внесенных в систему или приложение для устранения уязвимостей, которыми могли бы воспользоваться хакеры. Эти уязвимости, также известные как баги безопасности, могут привести к несанкционированному доступу, краже данных или другим вредоносным действиям.

Где можно найти дополнительную информацию об устраненных уязвимостях в продуктах Data Center? Copy link to heading Copied! Показать +
  

Компания Atlassian ежемесячно публикует Советы по обеспечению безопасности и предоставляет доступ к порталу по раскрытию уязвимостей. Портал по раскрытию уязвимостей — это главный центр информации об обнаруженных уязвимостях в любом из наших продуктов. Он обновляется ежемесячно с выходом каждого бюллетеня безопасности и предоставляет удобный способ поиска данных из предыдущих бюллетеней и доступа к ним.