Правила исправления ошибок, связанных с безопасностью
Atlassian уделяет максимальное внимание тому, чтобы защитить системы своих клиентов от возможной компрометации с использованием уязвимостей продуктов Atlassian.
Область действия
Далее описываются установленные компанией Atlassian способы и сроки устранения багов безопасности. В данной статье не приводится описание всего процесса разглашения содержания проблемы или процесса разработки советов по обеспечению безопасности, которым мы следуем.
Целевой уровень обслуживания (SLO) при устранении багов безопасности
Компания Atlassian задает цели по уровню обслуживания для исправления уязвимостей в защите в зависимости от уровня серьезности для безопасности и затронутого продукта. Мы определили следующие временные отрезки для исправления проблем с безопасностью в наших продуктах.
Укороченные временные отрезки
Эти временные отрезки применяются ко всем облачным продуктам Atlassian и любому другому программному обеспечению или системе, которыми управляет Atlassian или которые работают в инфраструктуре Atlassian. Они также применимы и к Jira Align (как для версии Cloud, так и для версии с самостоятельным управлением).
- Баги критической степени серьезности необходимо исправить в течение 14 дней после проведения проверки.
- Баги высокой степени серьезности необходимо исправить в течение 28 дней после проведения проверки.
- Баги средней степени серьезности необходимо исправить в течение 42 дней после проведения проверки.
- Баги низкой степени серьезности необходимо исправить в течение 175 дней после проведения проверки.
Расширенные временные отрезки
Эти временные отрезки применяются ко всем продуктам Atlassian, предназначенным для самостоятельного управления. Продукт с самостоятельным управлением устанавливается клиентами в управляемых заказчиком системах и включает приложения Atlassian версий Server, Data Center, а также настольные и мобильные приложения.
- Баги критической, высокой и средней степени серьезности необходимо исправить в течение 90 дней после проведения проверки.
- Баги низкой степени серьезности необходимо исправить в течение 180 дней после проведения проверки.
Критические уязвимости
При обнаружении компанией Atlassian критической уязвимости безопасности или при получении сообщения о таковой от третьего лица компания Atlassian выполнит все следующие действия.
- Выпустит новый исправленный релиз для текущей версии затронутого продукта в максимально короткий срок.
- Выпустит новый релиз технического обслуживания для предыдущей версии описанным ниже образом.
Продукт | Правила обновления прошлых релизов | Пример |
|---|---|---|
| Jira Software Server и Data Center Jira Core Server и Data Center Jira Service Management Server и Data Center (ранее — Jira Service Desk) | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
| Confluence Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
| Bitbucket Server и Data Center | Выпуск новых исправлений багов для:
| Например, если исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
Версия Bitbucket 6.3.0 была выпущена 14 мая 2019 г., более чем за 6 месяцев до данного фикса. Если она была определена как версия с долгосрочной поддержкой, для нее также было бы необходимо выпустить багфикс. |
| Исправления багов выпускаются только для текущей и предыдущей версий функциональных релизов. | Например, если для Bamboo исправление критических проблем безопасности выходит 1 января 2020 года, необходимо выпустить следующие новые версии с исправлениями багов:
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
Рекомендуется всегда устанавливать последний релиз вашего продукта с исправлениями багов. Например, если вы используете приложение Jira Software версии 7.5.0, его следует обновить до версии 7.5.3. Когда выйдет новое исправление багов, например Jira Software версии 7.5.4, разница между двумя версиями будет минимальна (лишь исправление отдельных проблем безопасности), обновление будет легко применить.
Процесс устранения критических уязвимостей не распространяется на продукты Atlassian Cloud, так как для них компания Atlassian применяет исправления самостоятельно, без участия клиентов.
Product | Example |
|---|---|
| Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
| Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
| Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
| Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
| Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
| Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
| Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
| Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
| Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
| Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
| Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
| Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
| Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
| Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
| Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
| Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
Некритические уязвимости
В случае обнаружения проблемы с высоким, средним или низким уровнем серьезности Atlassian включит в состав следующего планового релиза исправление согласно целям по уровню обслуживания, перечисленным в начале этого документа. При возможности исправление также будет адаптировано для версий с долгосрочной поддержкой.
Как только исправление багов становится доступным, рекомендуется обновлять установленные у вас продукты, чтобы устранять все проблемы безопасности, решаемые этим релизом.
Прочая информация
Как рассчитывается уровень опасности уязвимости, можно узнать на странице Уровни опасности задач, связанных с безопасностью.
Мы регулярно пересматриваем наши правила на основании отзывов клиентов и публикуем поправки и дополнения на этой странице.