Policy di correzione dei bug di sicurezza
Per Atlassian è una priorità assicurarsi che i sistemi dei clienti non possano essere compromessi sfruttando le vulnerabilità presenti nei suoi prodotti.
Ambito
Di seguito vengono descritte la tempistica e la modalità di risoluzione dei bug di sicurezza nei nostri prodotti. Non è descritto il processo completo di divulgazione o consulenza cui ci atteniamo.
Obiettivi di livelli di servizio (SLO) per le correzioni dei bug relativi alla sicurezza
Atlassian stabilisce obiettivi di livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito le seguenti tempistiche per la correzione dei problemi di sicurezza nei nostri prodotti:
Accelerazione della tempistica di risoluzione
Queste tempistiche si applicano a tutti i prodotti Atlassian basati su cloud e a qualsiasi altro software o sistema gestito da Atlassian o che viene eseguito su un'infrastruttura Atlassian. Si applicano anche a Jira Align (sia la versione cloud sia la versione autogestita).
- I bug con livello di gravità Critico devono essere corretti all'interno del prodotto entro 14 giorni dalla verifica
- I bug con livello di gravità Alto devono essere corretti all'interno del prodotto entro 28 giorni dalla verifica
- I bug con livello di gravità Medio devono essere corretti all'interno del prodotto entro 42 giorni dalla verifica
- I bug con livello di gravità Basso devono essere corretti all'interno del prodotto entro 175 giorni dalla verifica
Tempistiche di risoluzione estese
Queste tempistiche si applicano a tutti i prodotti Atlassian autogestiti. Un prodotto autogestito viene installato dai clienti su sistemi gestiti in autonomia e include applicazioni server, data center, desktop e mobili di Atlassian.
- I bug di gravità critica, alta e media devono essere corretti nel prodotto entro 90 giorni dalla verifica
- I bug di gravità bassa devono essere corretti nel prodotto entro 180 giorni dalla verifica
Vulnerabilità critiche
Quando una vulnerabilità della sicurezza critica viene rilevata da Atlassian o segnalata da una terza parte, Atlassian effettuerà tutte le seguenti operazioni:
- Pubblicazione di un nuovo rilascio corretto per la versione corrente del prodotto interessato il più presto possibile.
- Pubblicazione di un nuovo rilascio di manutenzione per una versione precedente, come segue:
Prodotto | Policy sul backport | Esempio |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center (in precedenza Jira Service Desk) | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Confluence Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
Bitbucket Server e Data Center | Pubblicazione di nuovi rilasci di correzioni di bug per:
| Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
Bitbucket 6.3.0 è stato rilasciato il 14 maggio 2019, oltre 6 mesi prima della data della correzione. Se fosse stata designata come rilascio di supporto a lungo termine, sarebbe stato prodotto anche un rilascio di correzione dei bug. |
Pubblicheremo nuovi rilasci di correzioni di bug solo per la versione di rilascio della funzione attuale e precedente. | Ad esempio, se il 1° gennaio 2020 viene sviluppata una correzione critica di un bug della sicurezza per Bamboo, devono essere prodotti i nuovi rilasci di correzioni di bug riportati di seguito:
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
È importante rimanere aggiornati sul rilascio più recente di correzione dei bug per la versione del prodotto utilizzata (questa è la best practice). Ad esempio, se utilizzi Jira Software 7.5.0, devi effettuare l'aggiornamento a Jira Software 7.5.3 in modo proattivo. Se viene rilasciata una nuova correzione dei bug relativi alla sicurezza, ad esempio Jira Software 7.5.4, la differenza tra le due versioni è minima (cioè solo la correzione di sicurezza) e questo ne semplifica l'applicazione.
Il processo di risoluzione delle vulnerabilità critiche non si applica ai nostri prodotti Atlassian Cloud in quanto questi servizi vengono sempre corretti da Atlassian senza ulteriori azioni da parte dei clienti.
Product | Example |
---|---|
Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
Vulnerabilità non critiche
Quando si rileva un problema di sicurezza di gravità elevata, media o bassa, Atlassian cercherà di rilasciare una correzione all'interno degli obiettivi a livello di servizio elencati all'inizio di questo documento. È inoltre possibile eseguire il backport della correzione ai rilasci di supporto a lungo termine, se fattibile.
È consigliabile aggiornare le installazioni quando diventa disponibile un rilascio di una correzione di bug per assicurarsi che siano state applicate le correzioni di sicurezza più recenti.
Altre informazioni
Il livello di gravità delle vulnerabilità viene calcolato in base ai livelli di gravità per i problemi di sicurezza.
Valuteremo continuamente le nostre policy in base al feedback dei clienti e pubblicheremo gli eventuali aggiornamenti o modifiche in questa pagina.