Close
是否使用您的语言查看此页面?
所有语言
选择您的语言
产品
专为团队而设计
支持
立即试用
立即购买
Search Toggle menu
Close search

规划、追踪和支持

Jira Software

项目和问题追踪

Jira Work Management

业务团队协作

Jira Service Management

高速 ITSM

Opsgenie

现代事件响应

Statuspage

事件沟通

Jira Align

企业级敏捷规划

协作

Confluence

文档协作

Trello

直观地针对任何项目进行协作

编写代码、构建并交付

Bitbucket

Git 代码管理

Sourcetree

Git 和 Mercurial 桌面客户端

Bamboo

集成和发布管理

安全和身份管理

Atlassian Access

云的安全和控制

Crowd

自托管环境的用户管理
查看全部产品
Close dropdown

按团队规模

初创公司

非常适合初创公司,从孵化到 IPO

小型企业

为不断发展的企业提供适当的工具

企业

了解我们如何让大型团队实现成功

按团队职能

软件

规划、构建和发布优质的产品

营销

整合制胜的策略

人力资源

精简人员管理

法律

安全可靠地运行

运营

高效地运营业务

IT

提供出色的服务和支持

金融

简化所有财务流程

事件响应

针对事件做出响应、解决问题并吸取经验教训
查看全部产品
Close dropdown

资源

文档

适用于我们所有产品的指南

Atlassian 迁移中心

迁移工具及指导

云路线图

即将发布的功能版本

购买和许可

有关我们策略的常见问题

支持服务

企业服务

为大型团队提供个性化支持

合作伙伴支持

值得信赖的第三方顾问

Atlassian 支持

团队和管理员的资源中心

学习与联系

关于我们

使命和历程

诚聘英才

工作机会、价值观等

Atlassian University

适用于各种技能层次的培训和认证

Atlassian 社区

交流、共享和学习的论坛
查看所有支持
Close dropdown

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。

范围

下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。

安全缺陷修复服务级别目标 (SLO)

我们为解决产品中的安全问题定义了以下时限:

加速解决时限

以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础设施中运行的所有其他软件或系统。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 8,CVSS v3 分数 >= 9)于报告之日起 2 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 6,CVSS v3 分数 >= 7)于报告之日起 4 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 6 周内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 25 周内在相关产品中解决

延期解决时限

以下时限适用于所有自行管理的 Atlassian 产品以及 Jira Align(云版本和自行管理版本)。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。

  • 严重性为严重的缺陷(CVSS v2 分数 >= 3,CVSS v3 分数 >= 4)于报告之日起 90 天内在相关产品中解决
  • 严重性为的缺陷(CVSS v2 分数 < 3,CVSS v3 分数 < 4)于报告之日起 180 天内在相关产品中解决

严重漏洞

当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:

  • 尽快为受影响产品的当前版本发布新的修复版本。
  • 为以往版本发布新的维护版本,如下所示:

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本
产品

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Desk Server 和 Data Center
向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日
产品

Confluence Server 和 Data Center
向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日
产品

Bitbucket Server 和 Data Center
向后移植策略

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。
示例

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。
产品

所有其他产品(BambooCrucibleFisheye,等等)
向后移植策略

我们只会为当前和上一功能版本发布新的缺陷修复版本。
示例

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。

严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。

有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。

其他信息

漏洞的严重性级别是根据安全问题严重性级别计算的。

我们会基于客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

什么是“长期支持版本”? 显示更多
  

“长期支持”版本面向 Server 和 Data Center 客户,他们希望有更多时间来准备升级到新功能版本,但同时仍需获取缺陷修复程序。某些产品会将特定版本指定为“长期支持”版本;换言之,在整整 2 年支持期间都会提供安全缺陷修复。
什么是“功能版本”? 显示更多
  

功能版本是包含新功能或现有功能重大变更的版本,尚未指定为“长期支持”版本。有关我们版本发布术语的更多信息,请参阅“Atlassian 缺陷修复政策”。
为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。
为什么 Bamboo 和 Fisheye/Crucible 等其他产品仅向后移植一个以往主要版本? 显示更多
  

我们的精力集中在 Jira、Confluence 和 Bitbucket Server 上,但也可能会考虑扩展 Bamboo、Fisheye/Crucible 和其他产品以覆盖更多主要版本,具体取决于这样做的需求。