Close

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。


范围

下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。

安全缺陷修复服务级别目标 (SLO)

我们为解决产品中的安全问题定义了以下时限:

加速解决时限

以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础设施中运行的所有其他软件或系统。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 8,CVSS v3 分数 >= 9)于报告之日起 2 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 6,CVSS v3 分数 >= 7)于报告之日起 4 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 6 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 25 周内在相关产品中解决

延期解决时限

以下时限适用于所有自行管理的 Atlassian 产品以及 Jira Align(云版本和自行管理版本)。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 90 天内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 180 天内在相关产品中解决

严重漏洞

当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:

  • 尽快为受影响产品的当前版本发布新的修复版本。
  • 为以往版本发布新的维护版本,如下所示:

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本
产品

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Desk Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日
产品

Confluence Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日
产品

Bitbucket Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

产品

所有其他产品(BambooCrucibleFisheye,等等)

向后移植策略

我们只会为当前和上一功能版本发布新的缺陷修复版本。

示例

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。

严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 会在下一次计划发布时包含修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。

有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。

其他信息

漏洞的严重性级别是根据安全问题严重性级别计算的。

我们会基于客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

什么是“长期支持版本”? 显示更多
  

“长期支持”版本面向 Server 和 Data Center 客户,他们希望有更多时间来准备升级到新功能版本,但同时仍需获取缺陷修复程序。某些产品会将特定版本指定为“长期支持”版本;换言之,在整整 2 年支持期间都会提供安全缺陷修复。

什么是“功能版本”? 显示更多
  

功能版本是包含新功能或现有功能重大变更的版本,尚未指定为“长期支持”版本。有关我们版本发布术语的更多信息,请参阅“Atlassian 缺陷修复政策”。

为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。

为什么 Bamboo 和 Fisheye/Crucible 等其他产品仅向后移植一个以往主要版本? 显示更多
  

我们的精力集中在 Jira、Confluence 和 Bitbucket Server 上,但也可能会考虑扩展 Bamboo、Fisheye/Crucible 和其他产品以覆盖更多主要版本,具体取决于这样做的需求。