安全问题的严重性级别
漏洞来源
- 安全扫描程序工作单,例如 Nexpose 和 Snyk 提交的工作单
- 安全研究人员通过 Bugcrowd 发现的漏洞悬赏结果
- 安全团队在审查中报告的安全漏洞
- Atlassian 员工报告的安全漏洞
严重性框架和评级
Atlassian 使用通用漏洞评分系统 (CVSS) 作为评估安全风险和确定每个所发现漏洞优先级的方法。CVSS 是一种行业标准漏洞指标。您可在 FIRST.org 上了解有关 CVSS 的更多信息。
严重性级别
Atlassian 安全公告包括严重性级别。此严重性级别基于我们针对每个特定漏洞自行计算的 CVSS 分数。
- 严重
- 高
- 中
- 低
对于 CVSS,Atlassian 使用以下严重性评级体系:
CVSS 评分范围 | 公告中的严重性 |
|---|---|
| 9.0 - 10.0 | 严重 |
| 7.0 - 8.9 | 高 |
| 4.0 - 6.9 | 中 |
| 0.1 - 3.9 | 低 |
某些情况下,Atlassian 可能会使用与 CVSS 评分无关的其他因素来确定漏洞的严重性级别。CVSS 规范支持此方法:
消费者可以使用 CVSS 信息作为组织漏洞管理流程的输入,该流程还会考虑与 CVSS 无关的因素,以便对其技术基础架构面临的威胁进行排名,并做出明智的补救决策。这些因素可能包括但不限于:监管要求、受影响客户的数量、漏洞造成的经济损失、生命或财产受到的威胁,或潜在漏洞被利用的声誉影响。这些因素不属于 CVSS 的范围。
在 Atlassian 采用此方法的情况下,我们将说明在公开披露漏洞时考虑了哪些其他因素以及原因。
以下是可能导致特定严重性级别的某些漏洞示例。请记住,此评级未考虑您的安装细节,仅用作指导。
严重性级别:严重
得分在严重范围内的漏洞通常具有以下大多数特征:
- 利用此漏洞可能会导致服务器或基础设施设备的根级破坏。
- 利用通常是直截了当的,即攻击者不需要任何特殊的身份验证凭据或关于个别受害者的知识,也不需要说服目标用户(例如通过社交工程)执行任何特殊功能。
对于严重漏洞,建议您尽快修补或升级,除非您有其他缓解措施。例如,如果无法从网络访问您的安装,则可算作一个缓解因素。
严重性级别:高
处于较高评分范围的漏洞通常具有以下某些特征:
- 该漏洞很难被利用。
- 利用漏洞可能导致权限提升。
- 漏洞利用可能会导致严重的数据丢失或停机。
严重性级别:中
处于中等评分范围的漏洞通常具有以下某些特征:
- 需要攻击者通过社交工程手段操纵个人受害者的漏洞。
- 难以设置的拒绝服务漏洞。
- 要求攻击者与受害者驻留在同一本地网络上的漏洞。
- 利用漏洞只能提供非常有限的访问权限。
- 需要用户权限才能成功利用的漏洞。
严重性级别:低
处于低得分范围的漏洞通常对组织的业务影响很小。利用此类漏洞通常需要本地或物理系统访问权限。第三方代码中无法通过 Atlassian 代码访问的漏洞可能会降级为低严重性。
补救时间线
Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们已根据我们的安全缺陷修复政策制定了修复安全问题的时限。
加速解决时限适用于:
- 所有基于云的 Atlassian 产品
- Jira Align(云端和自行管理版本)
- 由 Atlassian 管理或在 Atlassian 基础架构上运行的任何其他软件或系统
延期解决时限适用于:
- 所有自行管理的 Atlassian 产品
- 这些产品由客户安装在客户管理的系统上
- 其中包括 Atlassian 的 Data Center、桌面应用和移动应用
CVSS 解决时限
严重性级别 | 加速解决时限 | 延期解决时限 |
|---|---|---|
| 严重 | 验证通过后 10 天内 | 通过验证后 90 天内 |
| 高 | 通过验证后 4 周内 | 通过验证后 90 天内 |
| 中 | 验证通过后 12 周内 | 通过验证后 90 天内 |
| 低 | 通过验证后 25 周内 | 通过验证后 180 天内 |