Close
Хотите открыть эту страницу на своем языке?
Все языки
Выберите язык
Продукты

Избранное

Jira Software

Отслеживание проектов и задач

Confluence

Совместная работа над контентом

Jira Service Management

Высокоскоростное решение для ITSM

Trello

Визуальное управление проектами

Показать все продукты

Marketplace

Подключайте тысячи приложений и интеграций ко всем своим продуктам Atlassian

Close dropdown
Решения

Избранное

Управление работой

Управляйте проектами и согласовывайте цели всех команд для достижения результатов

Управление ИТ-услугами

Помогите своим командам разработчиков и ИТ-специалистов, а также бизнес-командам предоставлять услуги высокого качества на высокой скорости

Agile и DevOps

Создайте организацию по agile-разработке программного обеспечения, являющуюся передовой во всех аспектах, будь то исследование, поставка или эксплуатация

ПО РАЗМЕРУ КОМАНДЫ

Enterprise

Малый бизнес

Startup

Некоммерческие организации

ПО ПРОФИЛЮ КОМАНДЫ

Разработка программного обеспечения

ИТ

Финансовый отдел

Маркетинг

HR

По отрасли

Розничная торговля

Телекоммуникации

Профессиональные сервисы

Правительственные организации

Close dropdown
Ресурсы

Обучение

Atlassian University

Atlassian Playbook

Документация на продукт

Ресурсы для разработчиков

Поддержка

Сообщество Atlassian

Поддержка Atlassian

Программа миграции Atlassian

Сервисы корпоративного уровня

Поддержка партнеров

Покупка и лицензирование

Интегрируйте

О компании

Вакансии

Блог о работе и жизни

События

Close dropdown
Search
Попробовать
Toggle menu
Close search

Оценки безопасности

Правила компании Atlassian, касающиеся тестирования безопасности облачных продуктов

Клиенты Atlassian вправе проводить оценку безопасности своих продуктов Atlassian Cloud (определение см. ниже) без предварительного разрешения. Термин «оценка безопасности» означает любое действие, совершенное с целью определить, оценить или протестировать возможности и средства обеспечения безопасности продуктов и сервисов Atlassian (например, тестирование на проникновение и сканирование на уязвимости). На этой странице приведены правила («Правила тестирования безопасности»), которые должны соблюдаться клиентами, желающими провести оценку безопасности своих продуктов Atlassian Cloud. Ваши продукты Cloud и продукты Cloud, принадлежащие другим клиентам, размещаются в общей инфраструктуре, составляющей платформу Atlassian для предоставления облачных продуктов («платформа Atlassian Cloud»). Клиенты обязаны проявлять особую осторожность, чтобы ограничить любую оценку безопасности рамками своих продуктов или экземпляров Cloud и избежать непреднамеренного влияния на других клиентов.

Каждая оценка безопасности должна проводиться в соответствии с Правилами тестирования безопасности Atlassian, изложенными на этой странице. Ваше использование продуктов Cloud по-прежнему будет подчиняться условиям Соглашения Atlassian с клиентом или других применимых соглашений (в совокупности именуемым «Условия обслуживания»), на основании которых вы приобретали соответствующие облачные продукты. Любое нарушение этих Правил тестирования безопасности или соответствующих Условий обслуживания может стать причиной приостановки или прекращения доступа к вашему аккаунту и (или) возбуждения дела в суде против вас. Вы несете ответственность за любой ущерб платформе Atlassian Cloud, любое отрицательное воздействие на данные других клиентов или использование платформы Atlassian Cloud, вызванное нарушением с вашей стороны Правил тестирования безопасности или Условий обслуживания.

Облачные продукты, которые можно подвергать оценке безопасности

Перечисленные ниже продукты являются «продуктами Cloud» в контексте данных Правил тестирования безопасности:

  • Jira Software
  • Jira Service Management
  • Jira Align
  • Jira Work Management
  • Confluence
  • Bitbucket
  • Atlassian Access
  • Statuspage
  • Trello
  • Opsgenie
  • Halp

Правила тестирования безопасности

Разрешенные действия

  • Проводить оценку безопасности могут только клиенты Atlassian, оформившие подписку на соответствующие продукты Cloud, перечисленные выше.
  • Клиенты могут проводить оценку безопасности только собственных экземпляров продуктов Cloud в соответствии с политиками Atlassian в области оценки безопасности, включая настоящие Правила тестирования безопасности.
  • При проведении оценки безопасности разрешается использовать автоматизированные инструменты/сканеры, однако помните, что компания Atlassian также использует эти инструменты. Команда клиента по обеспечению безопасности должна проверить и приоритизировать любые результаты автоматического сканирования, прежде чем отправлять их в Atlassian вместе с рабочим, воспроизводимым доказательством концепции. Необработанные данные сканеров безопасности не принимаются.

Запрещенные действия

  • Сканирование или тестирование продуктов, экземпляров или ресурсов Cloud, принадлежащих любым другим клиентам Atlassian, а также доступ к ним.
  • Умышленный доступ к данным любого другого клиента (в том числе доступ к учетным данным любого другого клиента или использование этих учетных данных).
  • Нетехнические атаки (в том числе с использованием социальной инженерии, фишинга или несанкционированного доступа к инфраструктуре).
  • Физические атаки на безопасность (в том числе на офисы, оборудование, сотрудников Atlassian и т. д.).
  • Тестирование продуктов, не входящих в список разрешенных продуктов.
  • Воздействие на корпоративную структуру Atlassian.
  • Отказ в обслуживании (DoS), распределенный отказ в обслуживании (DDoS), имитация DoS и имитация DDoS.
  • Флудинг портов.
  • Флудинг протоколов.
  • Флудинг запросами (запросы на вход в систему, запросы к API).
  • Отправка необработанных отчетов сканера уязвимостей или приложения для оценки безопасности.

Информирование о проблемах

Если вы считаете, что обнаружили потенциальную уязвимость безопасности, связанную с продуктами Atlassian Cloud или любым другим сервисом Atlassian, вы соглашаетесь сообщить об этом в течение 24 часов, руководствуясь следующими инструкциями: Сообщение об уязвимости. Вы также можете отправить результаты в программу вознаграждения за найденные ошибки (Bug Bounty), но помните, что результаты автоматического сканирования рассматриваться не будут. После отправки необходимо запросить у нас разрешение, прежде чем раскрывать проблему публично. Результаты оценки безопасности считаются конфиденциальной информацией Atlassian. Каждый запрос на публичное разглашение требует отдельного сообщения для рассмотрения Atlassian. Запросы на публичное раскрытие проблемы, которая еще не была устранена для клиентов, будут отклонены.

Дополнительные термины

Преднамеренный доступ к данным любого другого клиента Atlassian строго запрещен. Если вы считаете, что обнаружили конфиденциальные данные клиента (учетные данные для входа, ключи API и т. п.) или способ получения доступа к данным клиента (например, посредством уязвимости), незамедлительно сообщите об этом в службу поддержки Atlassian, но не пытайтесь проверить уязвимость или иным способом получить доступ к аккаунту или данным клиента.

Помимо права Atlassian приостановить или прекратить доступ к вашему аккаунту в случае нарушения вами Правил тестирования безопасности, компания Atlassian оставляет за собой право реагировать на любые действия в своих сетях, если она заподозрит в этих действиях злой умысел или расценит как угрозу иного рода. Компания Atlassian вправе добавить ваши IP-адреса или диапазон IP-адресов в список запрещенных, если получит сообщение о нарушении, вызванном вашими действиями по оценке безопасности. Если вы обратитесь в службу поддержки Atlassian с просьбой снять ограничения, укажите основную причину совершения действия, расцененного как нарушение, и подробно изложите, какие меры вы приняли с целью не допустить повторного нарушения.

При желании вы можете уведомить команду Atlassian по безопасности о своем намерении провести оценку безопасности, отправив заявку в службу поддержки Atlassian с темой: Intent for Security Assessment (Намерение провести оценку безопасности). Укажите дату и временной диапазон тестирования, IP-адреса или диапазон адресов источника, целевые домены и контактную информацию. Хотя предварительное уведомление не является обязательным, оно поможет нам идентифицировать тестирование и не блокировать сеть, чтобы не свести на нет процесс тестирования.

Партнеры и реселлеры продуктов Atlassian Cloud несут ответственность за действия своих клиентов, совершаемые в рамках оценки безопасности.

Хотите узнать больше?

Что для нас актуально в отчетах об уязвимостях

Наш подход к внешнему тестированию безопасности

Наш подход к управлению уязвимостями

Программа Atlassian вознаграждения за найденные ошибки