安全缺陷修复政策
Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。
范围
下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。
安全缺陷修复服务级别目标 (SLO)
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限:
加速解决时限
以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础架构中运行的所有其他软件或系统。它们也适用于 Jira Align(云版本和自行管理版本)。
- 严重性为严重的缺陷于验证之日起 14 天内在相关产品中解决
- 严重性为高的缺陷于验证之日起 28 天内在相关产品中解决
- 严重性为中的缺陷于验证之日起 42 天内在相关产品中解决
- 严重性为低的缺陷于验证之日起 175 天内在相关产品中解决
延期解决时限
以下时限适用于所有自行管理的 Atlassian 产品。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。
- 严重性为严重、高和中的缺陷于验证之日起 90 天内在相关产品中解决
- 严重性为低的缺陷于验证之日起 180 天内在相关产品中解决
严重漏洞
当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:
- 尽快为受影响产品的当前版本发布新的修复版本。
- 为以往版本发布新的维护版本,如下所示:
产品 | 向后移植策略 | 示例 |
---|---|---|
Jira Software Server 和 Data Center Jira Core Server 和 Data Center Jira Service Management Server 和 Data Center(前身为 Jira Service Desk) | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
Confluence Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
Bitbucket Server 和 Data Center | 为以下版本发布新的缺陷修复版本:
| 例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。 |
我们只会为当前和上一功能版本发布新的缺陷修复版本。 | 例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。
严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。
Product | Example |
---|---|
Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
非严重漏洞
当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。
有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。