Сообщить об уязвимости


Мы не можем реагировать на пакетные отчеты, сформированные автоматическими сканерами. При обнаружении проблем с помощью автоматического сканера рекомендуется перед отправкой отчета об уязвимостях в Atlassian обратиться к специалисту по безопасности. Такой специалист сможет проверить результаты и подтвердить, что наблюдаемые проблемы действительно угрожают безопасности.

Если вы считаете, что нашли проблему безопасности, подходящую под определение уязвимости Atlassian, отправьте отчет нашей команде по обеспечению безопасности одним из перечисленных ниже способов.

Для клиентов:

Для исследователей по вопросам безопасности:

Вознаграждение выдается только за уязвимости, отправленные в рамках программы вознаграждения за найденные ошибки.

Укажите в отчете следующую информацию:

  • тип проблемы (межсайтовый скриптинг, инъекция SQL, удаленное выполнение кода и т. д.);
  • версия и название продукта, в которых наблюдается ошибка, или URL-адрес, если дело касается облачного сервиса;
  • возможные последствия уязвимости (например, какие данные можно просмотреть или изменить);
  • пошаговая инструкция для воспроизведения проблемы;
  • любой экспериментальный или вредоносный код для воспроизведения проблемы.

Если вам нужно зашифровать отправляемые данные с помощью нашего ключа PGP, загрузите его здесь.

Определение уязвимости

В Atlassian уязвимостью безопасности считается слабое место в том или ином продукте или элементе инфраструктуры, которое позволяет злоумышленнику повлиять на целостность или доступность наших продуктов или инфраструктуры, а также на конфиденциальность их данных.

Следующие результаты не считаются Atlassian уязвимостями безопасности.

  • Наличие или отсутствие HTTP-заголовков (X-Frame-Options, CSP, nosniff и т. д.). Эти заголовки относятся к рекомендациям по обеспечению безопасности и не считаются уязвимостями в Atlassian.
  • Отсутствие атрибутов безопасности в неконфиденциальных cookie-файлах. В продуктах Atlassian определенные атрибуты безопасности могут указываться для cookie-файлов наших приложений. Отсутствие таких заголовков в неконфиденциальных cookie-файлах не считается уязвимостью безопасности.
  • Открытые трассировки стека. Мы не считаем, что трассировка стека сама по себе угрожает безопасности. Если вы обнаружили при трассировке стека данные, позволяющие установить личность пользователя или созданное пользователями содержимое, отправьте отчет о проблеме и приложите подробное описание.
  • Подмена содержимого пользователями с правами администратора. Администраторам разрешается внедрять HTML-код в определенные части некоторых наших продуктов, если это расширяет возможности персонализации. Такая функциональная возможность не считается уязвимостью.
  • Кликджекинг на страницах, имеющих только статическое содержимое или размещенных на Jira Server. Дополнительные сведения см. на странице https://jira.atlassian.com/browse/JRASERVER-25143.
  • Включение или отключение автозаполнения.

Программа вознаграждения за найденные ошибки

Atlassian проводит открытую программу по выявлению ошибок в наших продуктах с участием партнера — Bugcrowd. Исследователи по вопросам безопасности могут получить денежное вознаграждение в обмен на соответствующий требованиям программы отчет об уязвимости, отправленный Atlassian в рамках наших программ вознаграждения.

Публичное разглашение

Atlassian считает исправление ошибок, связанных с безопасностью продуктов, основным приоритетом и стремится выполнять эту работу в сроки, обозначенные в наших Правилах исправления ошибок безопасности. Atlassian координирует раскрытие уязвимостей и требует от всех участников сохранять конфиденциальность этих сведений в целях защиты интересов наших пользователей.