Close
是否使用您的语言查看此页面?
所有语言
选择您的语言

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。

范围

本政策描述了我们如何以及何时解决产品中的安全漏洞。

安全缺陷修复服务级别目标 (SLO)

Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限目标:

加速解决目标

这些时限适用于:

  • 所有基于云的 Atlassian 产品
  • 由 Atlassian 管理的任何软件或系统
  • 在 Atlassian 基础架构上运行的任何软件或系统
  • Jira Align、云和自行管理的版本

根据漏洞级别,我们定义了以下验证后在产品中应用修复的时间线:

  • 危急缺陷必须在 10 日内修复
  • 高危缺陷必须在 28 日内修复
  • 中危缺陷应在 84 日内修复
  • 低危缺陷应在 175 日内修复

延期解决时限

以下时限目标适用于所有 Data Center Atlassian 产品和移动应用。Data Center 产品由客户安装在客户管理的系统上。

  • 严重性为严重、高的漏洞于验证之日起 90 天内在相关产品中修复
  • 严重性为的漏洞于验证之日起 180 天内在相关产品中修复

责任共担模式

Atlassian 致力于提供现成可用的安全产品,同时我们也依赖于责任共担模式。这种模式要求客户将实践实施持续到部署之后并延伸到运营阶段。其中的一些责任包括:

  • 在专用网络上运行 Atlassian 软件。
  • 确保在安全修复发布后及时实施。
  • 配置 Web 应用防火墙 (WAF)、VPN、多因素身份验证和单一登录。
  • 实施加密和访问控制。
  • 执行定期备份。
  • 执行定期安全审核。

严重漏洞

当 Atlassian 发现或第三方报告严重漏洞时,Atlassian 会采取以下各项措施:

  • 对于云产品,我们将尽快为受影响的产品发布新的修复版本
  • 对于自行管理的产品,我们将:
    • 为受影响产品的最新功能版本交付缺陷修复版本。
    • 按照发布时间表为受影响的产品交付新的功能版本。
    • 根据 Atlassian 支持终止政策,为受影响产品的所有支持的 LTS 版本发布缺陷修复版本。

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Server 和 Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

对于 Crowd、Fisheye 和 Crucible,我们将为受影响产品的最新功能版本提供缺陷修复版本。

自行管理产品的严重漏洞修复示例:

如果在 2024 年 2 月 1 日开发了严重漏洞修复,以下是将收到缺陷修复的版本示例:

产品

示例

Jira Software

示例

Jira Software 9.13.x,因为 9.13.0 是最新的功能版本

示例

Jira Software 9.12.x,因为 9.12.0 是最新的“长期支持”版本

示例

Jira Software 9.4.x,因为 9.4.0 是之前的“长期支持”版本

Jira Service Management

示例

Jira Service Management 5.13.x,因为 5.13.0 是最新的功能版本

示例

Jira Service Management 5.12.x,因为 5.12.0 是最新的“长期支持”版本

示例

Jira Service Management 5.4.x,因为 5.4.0 是第二个最新支持的“长期支持”版本

Confluence

示例

Confluence 8.7.x,因为 8.7.0 是最新的功能版本

示例

Confluence 8.5.x,因为 8.5.0 是最新的“长期支持”版本

示例

Confluence 7.19.x,因为 7.19.0 是第二个最新支持的“长期支持”版本

Bitbucket

示例

Bitbucket 8.17.x,因为 8.17.0 是最新的功能版本

示例

Bitbucket 8.9.x,因为 8.9.0 是最新的“长期支持”版本

示例

Bitbucket 7.21.x,因为 7.21.0 是第二个最新支持的“长期支持”版本

Bamboo

示例

Bamboo 9.5.x,因为 9.5.0 是最新的功能版本

示例

Bamboo 9.2.x,因为 9.2.0 是最新的“长期支持”版本

Crowd

示例

Crowd 5.3.x,因为 5.3.0 是最新的功能版本

Fisheye/Crucible

示例

Fisheye/Crucible 4.8.x,因为 4.8.0 是最新的功能版本

没有其他产品版本会收到新的缺陷修复。

频繁升级可确保产品实例的安全性。最佳实践是继续使用最新功能版本或产品的 LTS 版本的最新缺陷修复版本。

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复。如果可行,该修复也可以向后移植到“长期支持”版本。向后移植的可行性受多种因素的影响,包括软件依赖关系、体系结构修改和兼容性问题等。

为确保您的安装包含最新的安全修复,请在有缺陷修复发布时升级它们。

其他信息

漏洞的严重性级别是根据安全问题的严重性级别计算的。

我们会根据客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

什么是责任共担模式? Copy link to heading Copied! 显示更多
  

Atlassian 等提供商与其客户之间为实施最佳实践而达成的约定,这些最佳实践在初始部署后仍将持续实施,并延伸至运营阶段。有关详细信息,请查阅 Data Center 安全清单和共担责任
什么是“长期支持”版本?(示例:Jira Software 10.3 LTS) Copy link to heading Copied! 显示更多
  

“长期支持”版本适用于希望有更多时间升级到新功能版本但仍需要接收缺陷修复的 Data Center 客户。某些产品会将特定版本指定为“长期支持”版本,表示将在整个两年支持期内提供安全缺陷修复。
什么是功能版本?(示例:Jira Software 10.1) Copy link to heading Copied! 显示更多
  

功能版本是指未被指定为 LTS 版本的版本。它包含新功能、对支持平台(如数据库、操作系统、Git 版本)的更改或功能移除。

了解有关 Atlassian 缺陷修复政策的更多信息。
什么是缺陷修复版本?(示例:Jira Software 10.2.1) Copy link to heading Copied! 显示更多
  

缺陷修复版本可能包括增强稳定性和性能,以及解决功能缺陷和安全漏洞。根据修复的性质,它们可能会对现有功能进行细微更改。但是,它们不包含新功能或高风险更改,因此可以快速采用。我们建议您及时升级到当前版本的最新缺陷修复版本。
在哪里可以找到最新版本? Copy link to heading Copied! 显示更多
  

您可以随时查看软件下载门户或访问产品特定的下载页面。
什么是受支持的版本? Copy link to heading Copied! 显示更多
  

Atlassian 在初始功能或长期支持 (LTS) 版本发布后提供两年的版本支持。例如,我们在 Jira 9.14.0 发布后为 Jira Software 9.14.x 提供两年的技术支持。
在哪里可以找到受支持版本的列表? Copy link to heading Copied! 显示更多
  

有关最新信息,请查阅 Atlassian Data Center 终止支持政策
什么是漏洞? Copy link to heading Copied! 显示更多
  

漏洞是指可能被威胁或风险利用的弱点或缺陷。就网络安全而言,漏洞可能是软件、网络或系统中的缺陷,它允许未经授权的用户获得访问权限或造成损害。这可能包括过时的软件、安全系数不高的密码或数据加密缺失。
什么是安全缺陷修复? Copy link to heading Copied! 显示更多
  

安全缺陷修复是对系统或应用进行的一系列更改,以解决黑客可能利用的漏洞。这些漏洞也称为安全缺陷,可能导致未经授权的访问、数据盗用或其他恶意活动。
在哪里可以找到有关 Data Center 产品中已修复漏洞的更多信息? Copy link to heading Copied! 显示更多
  

Atlassian 会每月发布安全公告,并提供漏洞披露门户的访问权限。漏洞披露门户是有关我们任何产品中已披露漏洞的信息的中心枢纽。它每月随每期安全简报的发布而更新,为搜索和访问以前简报中的数据提供了一种简便的方法。