Наш подход к внешнему тестированию безопасности

Atlassian применяет комплексный подход к обеспечению внешней безопасности своих продуктов. Мы используем постоянно работающую и непрерывно тестируемую краудсорсинговую модель вознаграждения за обнаруженные ошибки, а также регулярное тестирование на проникновение по методу «белого ящика», которое проводят внешние консультанты по безопасности и наша внутренняя команда по тестированию безопасности.

Наши основные принципы и подход

Компания Atlassian известна своими ценностями, которые проявляются во всей нашей деятельности, в том числе в нашем подходе к тестированию безопасности. На практике наши ценности привели к формулированию следующих принципов и подходов.

• Баги — это неизбежный спутник разработки. Вопрос не в том, есть ли у нас баги. Главное — насколько быстро и эффективно мы их находим и устраняем. Это не означает, что нам нравятся баги или что мы не ищем постоянно новые способы уменьшить их количество и степень серьезности. Просто отрицание — не лучший подход к работе с багами в ПО.
• Мы применяем и поддерживаем отраслевые стандарты. Мы используем стандартную терминологию и подходы, чтобы быть уверенными, что ничего не упустили, и чтобы клиенты понимали, что и почему мы делаем. Например, стандартная система оценки уязвимостей Common Vulnerability Scoring System (CVSS) помогает нам и нашим клиентам четко определять, насколько серьезна та или иная уязвимость. Мы также соблюдаем процессы управления уязвимостями, описанные в стандарте ISO 27001 и установленные Альянсом облачной безопасности (CSA).
• Мы высоко ценим помощь, которую оказывают нашей команде сторонние исследователи по вопросам безопасности и специалисты по тестированию на проникновение. Если в продукте Atlassian имеется уязвимость, найти и устранить ее как можно скорее — это общий интерес для нас и наших клиентов.
  • Atlassian ежегодно привлекает независимых сторонних специалистов по тестированию на проникновение для выявления уязвимостей в защите продуктов и поддержки внутренней команды по обеспечению безопасности при выполнении задач, требующих узкоспециализированных навыков.
  • Компания Atlassian поощряет сторонних исследователей денежными вознаграждениями за обнаружение уязвимостей в своих продуктах в рамках программы вознаграждения за найденные ошибки. Благодаря участию сторонних исследователей по вопросам безопасности арсенал нашей команды пополняют новые и оригинальные подходы.
• Мы поддерживаем открытую и прозрачную программу тестирования безопасности: в рамках нашей программы вознаграждения за найденные ошибки мы предоставляем письма об оценке (LoA) по тестам на проникновение, проведенным в наших продуктах, а также статистику по обнаруженным багам.

Непрерывный контроль безопасности

Тестирование на проникновение

Для тестирования наших продуктов и других систем на проникновение мы привлекаем компании, специализирующиеся на услугах консалтинга в сфере безопасности. Кроме того, у нас есть внутренняя команда по проверке безопасности, которая работает совместно со сторонними консультантами для обеспечения технической безопасности высокоприоритетных проектов, таких как новые функции продукта (например, интерактивные доски Confluence), новые настройки инфраструктуры (например, среда FedRAMP) или преобразования архитектуры (например, новая среда выполнения Forge).

В таких случаях наш подход к тестированию на проникновение является направленным и специализированным. Такие тесты соответствуют следующим критериям.

• «Белый ящик». Тестировщикам предоставляется поддержка в виде проектной документации и инструктажа от инженеров по продукту, а также возможности обратиться к ним при возникновении вопросов во время работы.
• Доступ к коду: тестировщики получают полный доступ к соответствующей кодовой базе, чтобы упростить диагностику любого непредвиденного поведения системы и определение потенциальных целей во время тестирования.
• Ориентированность на угрозы. Тестирование сосредоточено на конкретном сценарии угрозы. Например, предполагается, что существует скомпрометированный экземпляр, и тестирование начинается с этой точки.
• Использование методологий. Тестировщики используют ряд специализированных тестовых сценариев в формате «белых ящиков», которые основаны на признанных отраслевых методологиях, таких как Open Web Application Security Project (OWASP). Благодаря этому тесты учитывают угрозы, уникальные для инфраструктуры и технологий Atlassian.

Мы публикуем письма об оценке (LoA) от наших партнеров по тестированию на проникновение. С ними можно ознакомиться внизу этой страницы. Из-за того, что при проведении этих оценок тестировщикам доступны подробные конфиденциальные сведения, мы не приводим отчеты целиком. Чтобы обеспечить непрерывный внешний контроль качества, большинство описываемых систем и продуктов будут включены в нашу общедоступную программу вознаграждения за найденные ошибки. Любые полученные в процессе тестирования результаты оцениваются, и к ним применяются меры в соответствии с нашими целями по уровню обслуживания (SLO) в отношении уязвимостей в защите для неограниченного круга лиц.

Вознаграждение за найденные ошибки (Bug Bounty)

Наша программа вознаграждения за найденные ошибки работает на платформе Bugcrowd. Цель этой программы — обеспечить постоянное тестирование наших продуктов на наличие уязвимостей в защите.

Мы верим, что сообщество независимых исследователей безопасности, принимающих участие в программе вознаграждения за найденные ошибки, обеспечивает наиболее эффективный процесс внешнего тестирования безопасности по следующим причинам.

• Программа вознаграждения за найденные ошибки действует постоянно. Непрерывное тестирование необходимо для действительно гибкой среды разработки с частыми релизами.
• В программе вознаграждения за найденные ошибки потенциально могут участвовать более 60 000 исследователей. Это обеспечивает высокий совокупный потенциал исследовательских навыков для выполнения технического контроля.
• Исследователи, участники программы вознаграждения за найденные ошибки, разрабатывают специальные инструменты и процессы по вертикали (для отдельных видов багов) и по горизонтали (для отдельных видов вознаграждения). Такая конкретизация повышает вероятность обнаружения скрытых, но значимых уязвимостей.

Наша программа вознаграждения за найденные ошибки охватывает более 25 продуктов и сред компании, в том числе серверные продукты, мобильные приложения и облачные продукты Atlassian. Подробная информация о количестве обнаруженных уязвимостей, среднем времени реагирования и среднем размере вознаграждения размещена на сайте Bugcrowd. В нашей программе насчитывается более 2800 зарегистрированных исследователей.

Посредством программы Bug Bounty мы стремимся выявить уязвимости, которые обычно включаются в списки угроз безопасности, составляемые сообществом Open Web Application Security Project (OWASP) и консорциумом Web Application Security Consortium (WASC),

Мы стремимся к открытости и прозрачности, поэтому приглашаем всех на страницу нашей программы вознаграждения за найденные ошибки (Bug Bounty). Регистрируйтесь в программе и тестируйте нас.

Приложения Marketplace

Приложения Marketplace участвуют в других программах Atlassian, таких как Программа раскрытия уязвимостей и Программа вознаграждения за найденные ошибки в приложениях, разработанных компанией Atlassian.

Тестирование по инициативе клиентов

В соответствии с нашими Условиями использования облачных продуктов мы разрешаем тестирование по инициативе клиентов. Мы стремимся быть открытыми и продолжим регулярно публиковать статистику нашей программы вознаграждения за найденные ошибки.

Хотя мы считаем свои программы вознаграждения за найденные ошибки наиболее эффективным и экономичным способом оценки безопасности собственных продуктов и сервисов, мы понимаем ваше желание протестировать защиту самостоятельно. Мы разрешаем клиентам проводить оценку безопасности (тесты на проникновение, оценку уязвимостей), но просим придерживаться ряда правил, чтобы не создавать дополнительных рисков.

Информирование об уязвимости

Если вам удастся найти проблему, о которой вы захотите сообщить Atlassian, следуйте инструкциям по отправке сообщений об уязвимостях.

Одна из ценностей компании Atlassian звучит как «открытая компания, никакой ерунды» и проявляется в том числе в раскрытии уязвимостей. Мы стремимся исправлять уязвимости в защите в рамках соответствующих целей по уровню обслуживания (SLO). Запросы на раскрытие информации, присылаемые в рамках наших программ вознаграждения за найденные ошибки, принимаются после того, как исправление проблемы будет разработано и выпущено в рабочую среду. Однако запрос будет отклонен, если отчет содержит какие-либо данные о клиентах. Если вы собираетесь раскрыть информацию вне наших программ вознаграждения за найденные ошибки, просим своевременно уведомить нас об этом и дождаться окончания соответствующей цели SLO.

Исключения из нашей программы тестирования безопасности

Мы стремимся к открытости и прозрачности не только в отношении собственного тестирования, но и в отношении тестов, которыми самостоятельно не занимаемся или которые в настоящее время не поддерживаем. Некоторые типы уязвимостей с низким уровнем риска, такие как перечисление и сбор информации, обычно не считаются значительными рисками.

Использование правильных критериев оценки

В рамках нашей политики исправления ошибок, связанных с безопасностью, для каждой цели по уровню обслуживания (SLO) задаются временные рамки с учетом продукта и степени серьезности, поэтому конкретную уязвимость устраняют в течение заданного времени. При анализе используется общая система оценки уязвимостей, которая помогает донести степень серьезности до наших клиентов.

Резюме

Краудсорсинговая программа вознаграждения за найденные ошибки компании Atlassian, внешние консалтинговые компании в области безопасности и наша внутренняя команда по тестированию безопасности формируют комплексную, отработанную и прозрачную модель, которая обеспечивает непрерывное тестирование и защиту наших продуктов и платформ, а также предоставляет клиентам постоянную гарантию.

Хотите узнать больше?

В этой краткой статье упоминается несколько других документов и ресурсов. Чтобы лучше понять наш подход к тестированию безопасности, рекомендуем изучить и их.

• Центр безопасности Atlassian
• Принципы безопасности Atlassian
• Запись о компании Atlassian в реестре CSA STAR
• Политика Atlassian по устранению багов безопасности
• Страница Atlassian с отчетами об уязвимостях
• Обязанности при возникновении инцидента безопасности в Atlassian
• Домашняя страница программы Bug Bounty компании Atlassian
• Программа вознаграждения за найденные ошибки от Atlassian
  • Программа вознаграждения за найденные ошибки в приложениях Marketplace, разработанных компанией Atlassian
  • Программа вознаграждения за найденные ошибки в приложениях Marketplace, разработанных сторонними поставщиками
  • Программа вознаграждения за найденные ошибки для Opsgenie
  • Программа вознаграждения за найденные ошибки для Statuspage
  • Программа вознаграждения за найденные ошибки для Trello
  • Программа вознаграждения за найденные ошибки для Halp
  • Программа вознаграждения за найденные ошибки для остальных продуктов Atlassian (Jira, Confluence, Bitbucket и т. д.)

Загрузить актуальные отчеты о программе Bug Bounty

Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их регистрации в программе вознаграждения за найденные ошибки. Все найденные таким образом баги сортируются по приоритету и устраняются в соответствии с нашими целями по уровню обслуживания (SLO) в отношении уязвимостей в защите для неограниченного круга лиц.

• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Atlassian (июль 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Halp (июль 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Jira Align (июль 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Opsgenie (июль 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Statuspage (июль 2023 г.)
• Загрузить последний отчет о программе вознаграждения за найденные ошибки (Bug Bounty) для Trello (июль 2023 г.)

Загрузить письма об оценке (LoA)

Все уязвимости в защите, описанные в приведенных ниже отчетах, отслеживаются нашей внутренней системой Jira по мере их выявления процессом подготовки отчета о тестировании на проникновение. Все найденные таким образом проблемы сортируются по приоритету и устраняются в соответствии с нашими целями по уровню обслуживания (SLO) в отношении уязвимостей в защите для неограниченного круга лиц.

• Письмо об оценке для Bitbucket Pipelines (май 2022 г.)
• Письмо об оценке Trello (август 2022 г.)
• Письмо об оценке Confluence Cloud (октябрь 2022 г.)
• Письмо об оценке Jira Service Management Data Center (октябрь 2022 г.)
• Письмо об оценке OAuth для Google в Jira Cloud (октябрь 2022 г.)
• Письмо об оценке библиотеки Atlassian Log4j для Confluence и Jira (декабрь 2022 г.)
• Письмо об оценке Jira Work Management Cloud (декабрь 2022 г.)
• Письмо об оценке Bitbucket Cloud (декабрь 2022 г.)
• Письмо об оценке Statuspage Cloud (декабрь 2022 г.)
• Письмо об оценке Jira Software (Cloud) (февраль 2023 г.)
• Письмо об оценке Bamboo (февраль 2023 г.)
• Письмо об оценке Jira Product Discovery (март 2023 г.)
• Письмо об оценке Atlas (апрель 2023 г.)
• Письмо об оценке платформы визуализации Atlassian Analytics (май 2023 г.)
• Письмо об оценке Confluence Server и Data Center (май 2023 г.)
• Письмо об оценке Fisheye и Crucible Server и Data Center (май 2023 г.)
• Письмо об оценке Jira Server и Data Center (май 2023 г.)
• Письмо об оценке Compass Cloud (май 2023 г.)
• Письмо об оценке Jira Align (июнь 2023 г.)
• Письмо об оценке Atlassian Access (июнь 2023 г.)
• Письмо об оценке Crowd Server и Data Center (июнь 2023 г.)
• Письмо об оценке Atlassian Assist (июль 2023 г.)
• Письмо об оценке для Bitbucket Server и DC (июль 2023 г.)