Close

报告漏洞


如果您认为发现了安全问题并且符合 Atlassian 的漏洞定义,请通过以下任一方式将报告提交给我们的安全团队:

如果您是客户:

如果您是安全研究人员:

只有通过缺陷赏金计划提交的漏洞才有资格获得赏金。

请在报告中附上以下信息:

  • 问题的类型(跨站点脚本执行、SQL 注入、远程代码执行等)
  • 缺陷涉及的产品和版本;如果与某一云服务相关,则注明 URL
  • 漏洞的潜在影响(即,可以访问或修改哪些数据)
  • 重现问题的分步骤说明
  • 重现问题所需的所有概念验证或代码利用

如果您希望使用我们的 PGP 密钥加密提交内容,请从此处下载。

我们无法回复由自动扫描程序生成的批量报告。如果您使用自动扫描程序发现了问题,建议您在向 Atlassian 提交漏洞报告之前,先让安全专业人员检查问题并确保发现结果有效。

漏洞定义

Atlassian 认为,安全漏洞是我们某一产品或基础设施中的薄弱之处,可能会让攻击者影响该产品或基础设施的机密性、完整性或可用性。

我们认为以下类型的发现不属于安全漏洞:

  • 存在或缺少 HTTP 标头(X-Frame-Options、CSP、nosniff,等等) 它们被视为安全最佳实践,因此我们未将其归类为漏洞。
  • 非敏感 Cookie 缺少与安全相关的属性。Atlassian 产品可能会对我们应用程序中使用的 Cookie 设置某些安全相关的属性。非敏感 Cookie 上没有这些标头不会视为安全漏洞。
  • 暴露堆栈轨迹。我们不认为堆栈轨迹本身是安全问题。如果您发现某一堆栈轨迹详细说明了个人身份信息或用户生成的内容,请提交详述具体问题的报告。
  • 管理用户执行的内容欺骗。我们允许管理员将 HTML 注入我们产品的特定区域,以作为一种自定义功能,且不认为此功能属于漏洞。
  • Jira Server 中的页面或仅含静态内容的页面上的点击劫持。有关更多详情,请参见 - https://jira.atlassian.com/browse/JRASERVER-25143
  • 启用或禁用自动补全

缺陷赏金计划

Atlassian 通过合作伙伴 BugCrowd 为我们的产品实施一项公共缺陷赏金计划。安全研究人员可以通过缺陷赏金计划向 Atlassian 提交合格的漏洞报告,来换得相应的现金款项。

公开披露

Atlassian 将解决我们产品中的任何安全漏洞视为一项优先任务,并会在安全缺陷修复政策中所述的时限内解决。Atlassian 按照协调一致的方式披露漏洞,为保护我们的客户,也恳请向我们报告漏洞的人员照此执行。