Close

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。


范围

下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。

安全缺陷修复服务级别目标 (SLO)

我们为解决产品中的安全问题定义了以下时限:

加速解决时限

以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础设施中运行的所有其他软件或系统。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 8,CVSS v3 分数 >= 9)于报告之日起 2 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 6,CVSS v3 分数 >= 7)于报告之日起 4 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 6 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 25 周内在相关产品中解决

延期解决时限

以下时限适用于所有自行管理的 Atlassian 产品以及 Jira Align(云版本和自行管理版本)。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 90 天内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 180 天内在相关产品中解决

严重漏洞

当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:

  • 尽快为受影响产品的当前版本发布新的修复版本。
  • 为以往版本发布新的维护版本,如下所示:

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本
产品

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Desk Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日
产品

Confluence Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日
产品

Bitbucket Server 和 Data Center

向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

产品

所有其他产品(BambooCrucibleFisheye,等等)

向后移植策略

我们只会为当前和上一功能版本发布新的缺陷修复版本。

示例

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。

严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。

有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。

其他信息

漏洞的严重性级别是根据安全问题严重性级别计算的。

我们会基于客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

什么是“长期支持版本”? 显示更多
  

“长期支持”版本面向 Server 和 Data Center 客户,他们希望有更多时间来准备升级到新功能版本,但同时仍需获取缺陷修复程序。某些产品会将特定版本指定为“长期支持”版本;换言之,在整整 2 年支持期间都会提供安全缺陷修复。

什么是“功能版本”? 显示更多
  

功能版本是包含新功能或现有功能重大变更的版本,尚未指定为“长期支持”版本。有关我们版本发布术语的更多信息,请参阅“Atlassian 缺陷修复政策”。

为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。

为什么 Bamboo 和 Fisheye/Crucible 等其他产品仅向后移植一个以往主要版本? 显示更多
  

我们的精力集中在 Jira、Confluence 和 Bitbucket Server 上,但也可能会考虑扩展 Bamboo、Fisheye/Crucible 和其他产品以覆盖更多主要版本,具体取决于这样做的需求。