Close

Policy di correzione dei bug di sicurezza

Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.


Ambito

Di seguito vengono descritte la tempistica e la modalità di risoluzione dei bug di sicurezza nei nostri prodotti. Non è descritto il processo completo di divulgazione o consulenza cui ci atteniamo.

Obiettivi di livelli di servizio (SLO) per le correzioni dei bug relativi alla sicurezza

Atlassian stabilisce obiettivi di livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito le seguenti tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:

Accelerazione della tempistica di risoluzione

Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian. Si applicano anche a Jira Align (sia la versione cloud sia la versione autogestita).

  • I bug con livello di gravità Critico devono essere corretti all'interno del prodotto entro 14 giorni dalla verifica
  • I bug con livello di gravità Alto devono essere corretti all'interno del prodotto entro 28 giorni dalla verifica
  • I bug con livello di gravità Medio devono essere corretti all'interno del prodotto entro 42 giorni dalla verifica
  • I bug con livello di gravità Basso devono essere corretti all'interno del prodotto entro 175 giorni dalla verifica

Tempistiche di risoluzione estese

Queste tempistiche si applicano a tutti i prodotti Atlassian autogestiti. Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include applicazioni server, data center, desktop e mobili di Atlassian.

  • I bug di gravità critica, alta e media devono essere corretti nel prodotto entro 90 giorni dalla verifica
  • I bug di gravità bassa devono essere corretti nel prodotto entro 180 giorni dalla verifica

Vulnerabilità critiche

Quando una vulnerabilità della sicurezza critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian effettuerà tutte le seguenti operazioni:

  • Pubblicazione di un nuovo rilascio corretto per la versione corrente del prodotto interessato il più presto possibile.
  • Pubblicazione di un nuovo rilascio di manutenzione per una versione precedente, come segue:

Prodotto
Policy sul backport
Esempio

Jira Software Server e Data Center

Jira Core Server e Data Center

Jira Service Management Server e Data Center (in precedenza Jira Service Desk)

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Jira 8.6.x perché la versione 8.6.0 è stata rilasciata il 17 dicembre 2019
  • Jira 8.5.x perché la versione 8.5.0 è stata rilasciata il 21 ottobre 2019
  • Jira 8.4.x perché la versione 8.4.0 è stata rilasciata il 9 settembre 2019
  • Jira 8.3.x perché la versione 8.3.0 è stata rilasciata il 22 luglio 2019
  • Jira 7.13.x perché 7.13 è un rilascio di supporto a lungo termine e la versione 7.13.0 è stata rilasciata il 28 novembre 2018

Confluence Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Confluence 7.2.x perché la versione 7.2.0 è stata rilasciata il 12 dicembre 2019
  • Confluence 7.1.x perché la versione 7.1.0 è stata rilasciata il 4 novembre 2019
  • Confluence 7.0.x perché la versione 7.0.0 è stata rilasciata il 10 settembre 2019
  • Confluence 6.13.x perché la versione 6.13 è un rilascio di supporto a lungo termine e la versione 6.13.0 è stata rilasciata il 4 dicembre 2018

Bitbucket Server e Data Center

Pubblicazione di nuovi rilasci di correzioni di bug per:

  • Eventuali versioni designate come "rilascio di supporto a lungo termine" che non hanno raggiunto la fine del ciclo di vita.
  • Tutte le versioni delle funzioni rilasciate entro 6 mesi dalla data di rilascio della correzione.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bitbucket 6.9.x perché la versione 6.9.0 è stata rilasciata il 10 dicembre 2019
  • Bitbucket 6.8.x perché la versione 6.8.0 è stata rilasciata il 6 novembre 2019
  • Bitbucket 6.7.x perché la versione 6.7.0 è stata rilasciata il 1° ottobre 2019
  • Bitbucket 6.6.x perché la versione 6.6.0 è stata rilasciata il 27 agosto 2019
  • Bitbucket 6.5.x perché la versione 6.5.0 è stata rilasciata il 24 luglio 2019

Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug.

Tutti gli altri prodotti (Bamboo, Crucible, Fisheye ecc.)

Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente.

Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:

  • Bamboo 6.10.x perché è stato rilasciato il 17 settembre 2019 ed è il rilascio corrente.
  • Bamboo 6.9.x perché 6.9.0 è il rilascio precedente.

For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.

È importante rimanere aggiornati sul rilascio più recente di correzione dei bug per la versione del prodotto utilizzata (questa è la best practice). Ad esempio, se utilizzi Jira Software 7.5.0, devi effettuare l'aggiornamento a Jira Software 7.5.3 in modo proattivo. Se viene rilasciata una nuova correzione dei bug relativi alla sicurezza, ad esempio Jira Software 7.5.4, la differenza tra le due versioni è minima (cioè solo la correzione di sicurezza) e questo ne semplifica l'applicazione.

Il processo di risoluzione delle vulnerabilità critiche non si applica ai nostri prodotti Atlassian Cloud in quanto questi servizi vengono sempre corretti da Atlassian senza ulteriori azioni da parte dei clienti.

Product

Example

Jira Software

Example

Jira Software 9.13.x because 9.13.0 is the latest feature release

Example

Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release

Example

Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release

Jira Service Management

Example

Jira Service Management 5.13.x because 5.13.0 is the latest feature release

Example

Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release

Example

Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release

Confluence

Example

Confluence 8.7.x because 8.7.0 is the latest feature release

Example

Confluence 8.5.x because 8.5.0 is the latest Long Term Support release

Example

Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release

Bitbucket

Example

Bitbucket 8.17.x because 8.17.0 is the latest feature release

Example

Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release

Example

Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release

Bamboo

Example

Bamboo 9.5.x because 9.5.0 is the latest feature release

Example

Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release

Crowd

Example

Crowd 5.3.x because 5.3.0 is the latest feature release

Fisheye/Crucible

Example

Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release

No other product versions would receive new bug fixes.

Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.

Vulnerabilità non critiche

Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione all'interno degli obiettivi a livello di servizio elencati all'inizio di questo documento. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile.

È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.

Altre informazioni

Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i problemi di sicurezza.

Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.

FAQ

Perché i rilasci futuri delle funzioni di Bitbucket, Jira e Confluence coprono un periodo di soli 6 mesi? Copy link to heading Copied! Mostra di più
  

I rilasci di Bitbucket Server sono molto frequenti, pertanto in 6 mesi vengono rilasciate 5-6 versioni principali. Dalla metà del 2017 è applicata una frequenza simile anche per Jira e Confluence, i cui rilasci vengono effettuati 5-6 volte l'anno.

Perché i rilasci futuri delle funzioni di Bitbucket, Jira e Confluence coprono un periodo di soli 6 mesi? Copy link to heading Copied! Mostra di più
  

I rilasci di Bitbucket Server sono molto frequenti, pertanto in 6 mesi vengono rilasciate 5-6 versioni principali. Dalla metà del 2017 è applicata una frequenza simile anche per Jira e Confluence, i cui rilasci vengono effettuati 5-6 volte l'anno.

Perché i rilasci futuri delle funzioni di Bitbucket, Jira e Confluence coprono un periodo di soli 6 mesi? Copy link to heading Copied! Mostra di più
  

I rilasci di Bitbucket Server sono molto frequenti, pertanto in 6 mesi vengono rilasciate 5-6 versioni principali. Dalla metà del 2017 è applicata una frequenza simile anche per Jira e Confluence, i cui rilasci vengono effettuati 5-6 volte l'anno.

Che cosa si intende per "rilascio di supporto a lungo termine"? Copy link to heading Copied! Mostra di più
  

I rilasci di supporto a lungo termine sono destinati ai clienti Server e Data Center che preferiscono avere più tempo a disposizione per prepararsi agli aggiornamenti alle nuove versioni delle funzioni, ma che hanno comunque la necessità di ricevere le correzioni di bug. Per alcuni prodotti verrà designata una versione specifica come rilascio di supporto a lungo termine, il che significa che le correzioni di bug di sicurezza saranno rese disponibili per l'intera finestra di supporto di 2 anni.

Cosa si intende per "rilascio di funzioni"? Copy link to heading Copied! Mostra di più
  

Un rilascio di funzioni è una versione (ad esempio 4.3) che contiene nuove funzioni o modifiche importanti alle funzioni esistenti, ma che non è stata designata come rilascio di supporto a lungo termine. Vedi la policy per la correzione dei bug di Atlassian per ulteriori informazioni sulla terminologia relativa ai rilasci.