Marketplace 
Поддержка 
Надежность и безопасность Security Bug Fix Policy
Atlassian makes it a priority to ensure that customers' systems cannot be compromised by exploiting vulnerabilities in Atlassian products.
Scope
The following describes how and when we resolve security bugs in our products. It does not describe the complete disclosure or advisory process that we follow.
Security bug fix Service Level Agreement (SLA)
We have defined the following timeframes for fixing security issues in our products:
- Critical severity bugs (CVSS v2 score >= 8, CVSS v3 score >= 9) to be fixed in product within 4 weeks of being reported
- High severity bugs (CVSS v2 score >= 6, CVSS v3 score >= 7) to be fixed in product within 6 weeks of being reported
- Medium severity bugs (CVSS v2 score >= 3, CVSS v3 score >= 4) to be fixed in product within 8 weeks of being reported
Critical Vulnerabilities
When a Critical security vulnerability is discovered by Atlassian or reported by a third party, Atlassian will do all of the following:
- Issue a new, fixed release for the current version of the affected product as soon as possible.
- Issue a new maintenance release for a previous version as follows:
Продукт | Правила обновления прошлых релизов | Пример |
|---|---|---|
| Jira Software Server и Data Center Jira Core Server и Data Center Jira Service Desk Server и Data Center | Выпуск новых багфиксов для:
| Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо выпустить следующие новые версии с исправлениями багов:
Если, например, версия 7.1 была обозначена как версия Enterprise, к ней тоже будет применено исправление, потому что на момент выпуска исправления ее поддержка не будет прекращена. |
| Confluence Server и Data Center | Выпуск новых багфиксов для:
| Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:
Если, например, версия 7.1 была обозначена как версия Enterprise, к ней тоже будет применено исправление, потому что на момент выпуска исправления ее поддержка не будет прекращена. |
| Bitbucket Server и Data Center | Выпуск новых багфиксов для всех функциональных обновлений, выпущенных не ранее чем за 6 месяцев до даты выпуска исправления. | Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:
|
| Все другие продукты (Bamboo, Crucible, Fisheye и т. д.) | Багфиксы выпускаются только для текущей и предыдущей версии. | Например, если исправление критических проблем безопасности для Bamboo выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:
|
Рекомендуется всегда устанавливать последний релиз вашего продукта с исправлениями багов. Например, если вы используете приложение Jira Software версии 7.5.0, его следует обновить до версии 7.5.3. Когда выйдет новое исправление багов, например Jira Software версии 7.5.4, разница между двумя версиями будет минимальна (лишь исправление отдельных проблем безопасности), обновление будет легко применить.
Процесс устранения критических уязвимостей не распространяется на продукты Atlassian Cloud, так как для них компания Atlassian применяет исправления самостоятельно, без участия клиентов.
Некритические уязвимости
В случае обнаружения проблемы с высоким, средним или низким уровнем опасности Atlassian включит исправление в состав следующего планового релиза. При возможности исправление также будет адаптировано для версии Enterprise.
Как только исправление ошибок становится доступным, рекомендуем обновлять установленные у вас продукты, чтобы устранять в них все проблемы, решаемые этим релизом.
Прочие сведения
Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни опасности проблем, связанных с безопасностью.
Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице.
Часто задаваемые вопросы
Что такое версия Enterprise?
Версии Enterprise предназначены для пользователей продуктов Server и Data Center, которым нужно больше времени, чтобы подготовиться к функциональным обновлениям. При этом они не собираются отказываться от исправлений багов. У некоторых продуктов статус Enterprise присваивается определенной версии. Клиенты, выбравшие такую версию, получат доступ к исправлениям проблем безопасности, которые будут выпускаться в течение всего двухлетнего периода предоставления поддержки.
Что значит «функциональное обновление»?
Функциональное обновление — это версия (например, 4.3), которая содержит новые возможности и или значительно изменяет существующие, но не считается версией Enterprise. Подробнее о принятой в нашей компании системе наименования релизов см. в правилах исправления багов Atlassian.
Почему исправления для Bitbucket, Jira и Confluence применяются только к тем функциональным обновлениям, которые вышли не ранее чем за шесть месяцев до выпуска исправления?
Версии Bitbucket Server выходят очень часто — за шесть месяцев выходит 5–6 основных версий. С середины 2017 года обновления Jira и Confluence выпускаются по схожему графику. Их новые версии выходят 5–6 раз в год.
Почему исправления для других продуктов, таких как Bamboo и Fisheye/Crucible, применяются лишь к одной предыдущей основной версии?
Мы уделяем основное внимание Jira, Confluence и Bitbucket Server, но в будущем мы, возможно, будем расширять исправления для Bamboo, Fisheye/Crucible и других продуктов на большее число основных версий, если в этом будут заинтересованы клиенты.