Close

Сообщить об уязвимости


Если вы считаете, что обнаружили проблему с безопасностью, которая соответствует данному Atlassian определению уязвимости, отправьте сообщение об этом нашей команде по обеспечению безопасности одним из следующих способов.

Для клиентов:

Для исследователей проблем безопасности:

Программа вознаграждения за найденные ошибки действует только при отправке сообщений об уязвимостях через форму программы.

В сообщение требуется включить следующую информацию.

  • Тип проблемы (межсайтовый скриптинг, SQL‑инъекция, выполнение удаленного кода и пр.)
  • Продукт и версия, в которой обнаружена ошибка, или URL‑адрес (для облачных сервисов)
  • Возможное влияние данной уязвимости (к примеру, какие данные можно изменить либо к каким данным можно получить доступ)
  • Пошаговая инструкция по воспроизведению проблемы
  • Любые сведения в качестве доказательства концепции или код эксплойта для воспроизведения ошибки

Если вы хотите зашифровать отправляемую информацию с помощью нашего ключа PGP, его можно загрузить здесь.

 

Определение уязвимости

В Atlassian уязвимостью безопасности считается слабое место в том или ином продукте или элементе инфраструктуры, которое позволяет злоумышленнику повлиять на целостность или доступность наших продуктов или инфраструктуры, а также на конфиденциальность их данных.

Перечисленные ниже типы ошибок не считаются уязвимостями безопасности.

  • Наличие или отсутствие заголовков HTTP (X-Frame-Options, CSP, nosniff и пр.). Это рекомендации по обеспечению безопасности, а не уязвимости.
  • Отсутствие параметров безопасности или неконфиденциальные элементы cookies. Для продуктов Atlassian могут действовать специальные параметры безопасности или применяться данные cookies. Отсутствие таких заголовков или неконфиденциальные элементы cookies не считаются уязвимостями безопасности.
  • Возможность внешнего отслеживания стека.  Мы не относим отслеживание стека к вопросам, связанным с безопасностью. Если при отслеживании стека раскрывается устанавливающая личность информация или созданный пользователями контент, отправьте нам заявку с подробным описанием проблемы.
  • Подмена контента с правами административного пользователя.  Мы позволяем администраторам внедрять HTML в определенные части наших продуктов для настройки, поэтому такая возможность не считается уязвимостью.
  • Кликджекинг на страницах Jira Server или страницах, где присутствует только статический контент. Подробнее см. по ссылке https://jira.atlassian.com/browse/JRASERVER-25143.
  • Разрешение или запрет автоматического заполнения

Мы также не можем реагировать на пакетные отчеты, созданные автоматическими сканерами. Если вы обнаружили проблемы при автоматическом сканировании, рекомендуется обратиться к специалисту по обеспечению безопасности, чтобы он проверил обнаруженные проблемы и убедился, что они действительно отвечают критериям уязвимостей для отправки в Atlassian.

 

Программа вознаграждения за найденные ошибки (Bug Bounty)

Atlassian проводит открытую программу по выявлению ошибок в наших продуктах с участием партнера — Bugcrowd. Исследователи вопросов безопасности могут получить денежное вознаграждение в обмен на соответствующий требованиям программы отчет об уязвимости. Для этого отчет нужно отправить в Atlassian через соответствующую форму программы.

 

Разглашение

Atlassian считает исправление ошибок, связанных с безопасностью продуктов, основным приоритетом и стремится выполнять эту работу в сроки, обозначенные в Правилах исправления ошибок безопасности. Atlassian координирует раскрытие уязвимостей и требует от всех участников сохранять конфиденциальность этих сведений в целях защиты интересов наших пользователей.