Close

Security Bug Fix Policy

Atlassian makes it a priority to ensure that customers' systems cannot be compromised by exploiting vulnerabilities in Atlassian products.


Scope

The following describes how and when we resolve security bugs in our products. It does not describe the complete disclosure or advisory process that we follow.

Security bug fix Service Level Agreement (SLA)

We have defined the following timeframes for fixing security issues in our products:

  • Critical severity bugs (CVSS v2 score >= 8, CVSS v3 score >= 9) to be fixed in product within 4 weeks of being reported
  • High severity bugs (CVSS v2 score >= 6, CVSS v3 score >= 7) to be fixed in product within 6 weeks of being reported
  • Medium severity bugs (CVSS v2 score >= 3, CVSS v3 score >= 4) to be fixed in product within 8 weeks of being reported

Critical Vulnerabilities

When a Critical security vulnerability is discovered by Atlassian or reported by a third party, Atlassian will do all of the following:

  • Issue a new, fixed release for the current version of the affected product as soon as possible.
  • Issue a new maintenance release for a previous version as follows:
Продукт
Правила обновления прошлых релизов
Пример

Jira Software Server и Data Center

Jira Core Server и Data Center

Jira Service Desk Server и Data Center

Выпуск новых багфиксов для:

  • любых версий, обозначенных как Enterprise, для которых еще не прекращена поддержка;
  • всех функциональных обновлений (например, 7.1, 7.2), выпущенных не ранее чем за 6 месяцев до даты выпуска исправления.
Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо выпустить следующие новые версии с исправлениями багов:
  • Jira 7.6.x, т. к. это текущая версия;
  • Jira 7.5.x, т. к. версия 7.5.0 была выпущена 6 сентября 2017 г.;
  • Jira 7.4.x, т. к. версия 7.4.0 была выпущена 29 июня 2017 г.

Если, например, версия 7.1 была обозначена как версия Enterprise, к ней тоже будет применено исправление, потому что на момент выпуска исправления ее поддержка не будет прекращена.

Confluence Server и Data Center

Выпуск новых багфиксов для:

  • любых версий, обозначенных как Enterprise, для которых еще не прекращена поддержка;

  • всех функциональных обновлений, выпущенных не ранее чем за 6 месяцев до даты выпуска исправления.

Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:
  • Confluence 6.6.x, т. к. это текущая версия;

  • Confluence 6.5.x, т. к. версия 6.5.0 была выпущена 1 ноября 2017 г.;

  • Confluence 6.4.x, т. к. версия 6.4.0 была выпущена 6 сентября 2017 г.;

  • Confluence 6.3.x, т. к. версия 6.3.0 была выпущена 12 июля 2017 г.;

  • Confluence 6.2.x, т. к. версия 6.2.0 была выпущена 15 мая 2017 г.

Если, например, версия 7.1 была обозначена как версия Enterprise, к ней тоже будет применено исправление, потому что на момент выпуска исправления ее поддержка не будет прекращена.

Bitbucket Server и Data Center Выпуск новых багфиксов для всех функциональных обновлений, выпущенных не ранее чем за 6 месяцев до даты выпуска исправления.

Например, если исправление критических проблем безопасности выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:

  • Bitbucket 5.6.x, т. к. это текущая версия;

  • Bitbucket 5.5.x, т. к. версия 5.5.0 была выпущена 24 октября 2017 г.;

  • Bitbucket 5.4.x, т. к. версия 5.4.0 была выпущена 19 сентября 2017 г.;

  • Bitbucket 5.3.x, т. к. версия 5.3.0 была выпущена 15 августа 2017 г.;

  • Bitbucket 5.2.x, т. к. версия 5.2.0 была выпущена 11 июля 2017 г.;

  • Bitbucket 5.1.x, т. к. версия 5.1.0 была выпущена 6 июня 2017 г.;

  • Bitbucket 5.0.x, т. к. версия 5.0.0 была выпущена 2 мая 2017 г.

Все другие продукты (Bamboo, CrucibleFisheye и т. д.) Багфиксы выпускаются только для текущей и предыдущей версии. Например, если исправление критических проблем безопасности для Bamboo выходит 1 декабря 2017 года, необходимо будет выпустить следующие новые версии с исправлениями багов:
  • Bamboo 6.2.x, т. к. это текущая версия;
  • Bamboo 6.1.x, т. к. это предыдущая версия.

Рекомендуется всегда устанавливать последний релиз вашего продукта с исправлениями багов. Например, если вы используете приложение Jira Software версии 7.5.0, его следует обновить до версии 7.5.3. Когда выйдет новое исправление багов, например Jira Software версии 7.5.4, разница между двумя версиями будет минимальна (лишь исправление отдельных проблем безопасности), обновление будет легко применить.

Процесс устранения критических уязвимостей не распространяется на продукты Atlassian Cloud, так как для них компания Atlassian применяет исправления самостоятельно, без участия клиентов.

Некритические уязвимости

В случае обнаружения проблемы с высоким, средним или низким уровнем опасности Atlassian включит исправление в состав следующего планового релиза. При возможности исправление также будет адаптировано для версии Enterprise. 

Как только исправление ошибок становится доступным, рекомендуем обновлять установленные у вас продукты, чтобы устранять в них все проблемы, решаемые этим релизом.

 

Прочие сведения

Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни опасности проблем, связанных с безопасностью.

Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице. 

 

Часто задаваемые вопросы

Что такое версия Enterprise?

Версии Enterprise предназначены для пользователей продуктов Server и Data Center, которым нужно больше времени, чтобы подготовиться к функциональным обновлениям. При этом они не собираются отказываться от исправлений багов. У некоторых продуктов статус Enterprise присваивается определенной версии. Клиенты, выбравшие такую версию, получат доступ к исправлениям проблем безопасности, которые будут выпускаться в течение всего двухлетнего периода предоставления поддержки.

Что значит «функциональное обновление»?

Функциональное обновление — это версия (например, 4.3), которая содержит новые возможности и или значительно изменяет существующие, но не считается версией Enterprise. Подробнее о принятой в нашей компании системе наименования релизов см. в правилах исправления багов Atlassian.

Почему исправления для Bitbucket, Jira и Confluence применяются только к тем функциональным обновлениям, которые вышли не ранее чем за шесть месяцев до выпуска исправления?

Версии Bitbucket Server выходят очень часто — за шесть месяцев выходит 5–6 основных версий. С середины 2017 года обновления Jira и Confluence выпускаются по схожему графику. Их новые версии выходят 5–6 раз в год. 

Почему исправления для других продуктов, таких как Bamboo и Fisheye/Crucible, применяются лишь к одной предыдущей основной версии?

Мы уделяем основное внимание Jira, Confluence и Bitbucket Server, но в будущем мы, возможно, будем расширять исправления для Bamboo, Fisheye/Crucible и других продуктов на большее число основных версий, если в этом будут заинтересованы клиенты.