安全缺陷修复政策
Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。
范围
下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。
安全缺陷修复服务级别目标 (SLO)
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限:
加速解决时限
以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础架构中运行的所有其他软件或系统。它们也适用于 Jira Align(云版本和自行管理版本)。
- 严重性为严重 的缺陷于报告之日起 2 周内 在相关产品中解决
- 严重性为高 的缺陷于报告之日起 4 周内 在相关产品中解决
- 严重性为中 的缺陷于报告之日起 6 周内 在相关产品中解决
- 严重性为低 的缺陷于报告之日起 25 周内 在相关产品中解决
延期解决时限
以下时限适用于所有自行管理的 Atlassian 产品。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。
- 严重性为严重、高和中的缺陷于报告之日起 90 天内在相关产品中解决
- 严重性为低 的缺陷于报告之日起 180 天内在相关产品中解决
严重漏洞
当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:
- 尽快为受影响产品的当前版本发布新的修复版本。
- 为以往版本发布新的维护版本,如下所示:
产品 | 向后移植策略 | 示例 |
---|---|---|
Jira Software Server 和 Data Center Jira Core Server 和 Data Center Jira Service Management Server 和 Data Center(前身为 Jira Service Desk) | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
Confluence Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
Bitbucket Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。 |
我们只会为当前和上一功能版本发布新的缺陷修复版本。 | 例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
Product | Back port policy | Example |
---|---|---|
Jira Software Server and Data Center Jira Core Server and Data Center Jira Service Management Server and Data Center (previously known as Jira Service Desk) Confluence Server and Data Center Bitbucket Server and Data Center | Issue new bug fix releases for:
| If a critical security bug fix is developed on 2020/01/01, the following are example releases that would receive the bug fix:
The following are examples of releases that would not receive new bug fix releases:
|
We will only issue new bug fix releases for the current and previous feature release version. | For example, if a critical security bug fix is developed on 1 January 2020 for Bamboo, the following new bug fix releases would need to be produced:
|
产品Jira Software Server 和 Data Center Jira Core Server 和 Data Center Jira Service Desk Server 和 Data Center |
向后移植策略为以下版本发布新的缺陷修复版本:
|
示例例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
产品Confluence Server 和 Data Center |
向后移植策略为以下版本发布新的缺陷修复版本:
|
示例例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
产品Bitbucket Server 和 Data Center |
向后移植策略为以下版本发布新的缺陷修复版本:
|
示例例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。 |
产品 |
向后移植策略我们只会为当前和上一功能版本发布新的缺陷修复版本。 |
示例例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。
严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。
非严重漏洞
当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。
有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。