Close

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。


范围

本政策描述了我们如何以及何时解决产品中的安全漏洞。

安全缺陷修复服务级别目标 (SLO)

Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限目标:

加速解决目标

以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础架构中运行的所有其他软件或系统。它们也适用于 Jira Align(云版本和自行管理版本)。

  • 严重漏洞将在验证后 10 天内在产品中修复
  • 严重性为的漏洞于验证之日起 28 天内在相关产品中修复
  • 中级漏洞将在验证后 84 天内在产品中修复
  • 严重性为的漏洞于验证之日起 175 天内在相关产品中修复

延期解决时限

以下时限目标适用于所有自行管理的 Atlassian 产品。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的 Data Center 和移动应用。

  • 严重性为严重的漏洞于验证之日起 90 天内在相关产品中修复
  • 严重性为的漏洞于验证之日起 180 天内在相关产品中修复

严重漏洞

当 Atlassian 发现或第三方报告严重漏洞时,Atlassian 会采取以下各项措施:

  • 对于云产品,我们将尽快为受影响的产品发布新的修复版本
  • 对于自行管理的产品,我们将:
    • 为受影响产品的最新功能版本发布缺陷修复版本
    • 按照发布计划为受影响的产品发布新的功能版本
    • 根据 Atlassian 支持终止政策,为受影响产品的所有支持的 LTS 版本发布缺陷修复版本。

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Management Server 和 Data Center(先前为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期已超过 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

对于 Crowd、Fisheye 和 Crucible,我们将为受影响产品的最新功能版本提供缺陷修复版本。

自行管理产品的严重漏洞修复示例:

如果在 2024 年 2 月 1 日开发了严重漏洞修复,以下是将收到缺陷修复的版本示例:

产品

示例

Jira Software

示例

Jira Software 9.13.x,因为 9.13.0 是最新的功能版本

示例

Jira Software 9.12.x,因为 9.12.0 是最新的“长期支持”版本

示例

Jira Software 9.4.x,因为 9.4.0 是之前的“长期支持”版本

Jira Service Management

示例

Jira Service Management 5.13.x,因为 5.13.0 是最新的功能版本

示例

Jira Service Management 5.12.x,因为 5.12.0 是最新的“长期支持”版本

示例

Jira Service Management 5.4.x,因为 5.4.0 是第二个最新支持的“长期支持”版本

Confluence

示例

Confluence 8.7.x,因为 8.7.0 是最新的功能版本

示例

Confluence 8.5.x,因为 8.5.0 是最新的“长期支持”版本

示例

Confluence 7.19.x,因为 7.19.0 是第二个最新支持的“长期支持”版本

Bitbucket

示例

Bitbucket 8.17.x,因为 8.17.0 是最新的功能版本

示例

Bitbucket 8.9.x,因为 8.9.0 是最新的“长期支持”版本

示例

Bitbucket 7.21.x,因为 7.21.0 是第二个最新支持的“长期支持”版本

Bamboo

示例

Bamboo 9.5.x,因为 9.5.0 是最新的功能版本

示例

Bamboo 9.2.x,因为 9.2.0 是最新的“长期支持”版本

Crowd

示例

Crowd 5.3.x,因为 5.3.0 是最新的功能版本

Fisheye/Crucible

示例

Fisheye/Crucible 4.8.x,因为 4.8.0 是最新的功能版本

没有其他产品版本会收到新的缺陷修复。

频繁升级可确保产品实例的安全性。最佳实践是继续使用最新功能版本或产品的 LTS 版本的最新缺陷修复版本。

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复。可行时,此修复也可能向后移植到“长期支持”版本。向后移植的可行性取决于复杂的依赖关系、体系结构变化和兼容性等因素。

有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。

其他信息

漏洞的严重性级别是根据安全问题的严重性级别计算的。

我们会根据客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

什么是安全缺陷修复? Copy link to heading Copied! 显示 +
  

安全缺陷修复是对系统或应用进行的一系列更改,以解决可能被黑客利用的漏洞。这些漏洞也称为安全缺陷,可能导致未经授权的访问、数据盗用或其他恶意活动。

什么是漏洞? Copy link to heading Copied! 显示 +
  

漏洞是指可能被威胁或风险利用的弱点或缺陷。就网络安全而言,漏洞可能是软件、网络或系统中的缺陷,它允许未经授权的用户获得访问权限并造成损害。这可能包括过时软件、安全系数不高的密码或数据加密缺失等。

在哪里可以找到有关 Data Center 产品中已修复漏洞的更多信息? Copy link to heading Copied! 显示 +
  

Atlassian 会每月发布安全公告,并提供漏洞披露门户的访问权限。漏洞披露门户是有关我们任何产品中已披露漏洞的信息的中心枢纽。它每月随每期安全公告的发布而更新,提供从以前的简报中搜索和访问数据的简便方法。

什么是“长期支持”版本? Copy link to heading Copied! 显示 +
  

“长期支持”版本面向 Data Center 客户,他们希望有更多时间来准备升级到新功能版本,但同时仍需获取缺陷修复。某些产品会将特定版本指定为“长期支持”版本;换言之,在整整 2 年支持期间都会提供安全缺陷修复。

什么是功能版本? Copy link to heading Copied! 显示 +
  

功能版本是包含新功能或现有功能重大变更的版本(例如 Jira Software 9.11),该版本尚未指定为“长期支持”版本。了解有关 Atlassian 缺陷修复政策的更多信息。