Close
Visualizzare la pagina in tua lingua?
Lingue
Scegli la tua lingua
Prodotti

In primo piano

Jira Software

Monitoraggio di progetti e ticket

Confluence

Collaborazione sui contenuti

Jira Service Management

ITSM high-velocity

Trello

Gestione visiva dei progetti

Vedi tutti i prodotti

Marketplace

Connetti migliaia di app e integrazioni per tutti i tuoi prodotti Atlassian

Close dropdown
Soluzioni

In primo piano

Gestione del lavoro

Gestisci i progetti e allinea gli obiettivi di tutti i team per raggiungere i risultati finali

Gestione dei servizi IT

Consenti ai team aziendali, di sviluppo e delle operazioni IT di offrire un ottimo servizio high velocity

Agile e DevOps

Gestisci un'organizzazione software Agile di alta qualità, dall'individuazione alla distribuzione e alle operazioni

PER DIMENSIONE DEL TEAM

Aziende

Piccole imprese

Startup

Organizzazioni non profit

PER FUNZIONE DEL TEAM

Sviluppo software

IT

Finanza

Marketing

Risorse umane

Per settore

Vendita al dettaglio

Telecomunicazioni

Servizi professionali

Enti pubblici

Close dropdown
Risorse

Apprendimento

Atlassian University

Playbook Atlassian

Documentazione prodotto

Risorse per sviluppatori

Assistenza

Atlassian Community

Assistenza Atlassian

Atlassian Migration Program

Servizi aziendali

Supporto dei partner

Acquisti e licenze

Connessioni

Informazioni su di noi

Opportunità di carriera

Blog Work Life

Eventi

Close dropdown
Search
Provalo ora
Toggle menu
Close search

Livelli di gravità per i ticket di sicurezza

Fonti di vulnerabilità

  • Ticket dello scanner di sicurezza come quelli inviati da Nexpose, Cloud Conformity, Snyk
  • Risultati dei programmi Bug Bounty trovati dai ricercatori di sicurezza tramite Bugcrowd
  • Vulnerabilità di sicurezza segnalate dal team di sicurezza nell'ambito delle revisioni
  • Vulnerabilità di sicurezza segnalate dagli Atlassiani

Framework e valutazione della gravità

Atlassian utilizza il Common Vulnerability Scoring System (CVSS) come metodo per valutare il rischio per la sicurezza e stabilire le priorità per ciascuna vulnerabilità scoperta. CVSS è una metrica di vulnerabilità standard del settore. Maggiori informazioni su CVSS sono disponibili su First.org.

Livelli di gravità

Gli avvisi di sicurezza Atlassian includono un livello di gravità, che è basato sul nostro punteggio CVSS calcolato automaticamente per ogni vulnerabilità specifica.

  • Critico
  • Elevato
  • Medio
  • Basso

Per CVSS v3 Atlassian utilizza il seguente sistema di classificazione del livello di gravità:

INTERVALLO DI PUNTEGGI CVSS V3
LIVELLO DI GRAVITÀ INDICATO NELL'AVVISO

9,0 - 10,0

 Critico

7,0 - 8,9

 Elevato

4,0 - 6,9

 Medio

0,1 - 3,9

 Basso

In alcuni casi, Atlassian può utilizzare fattori aggiuntivi non correlati al punteggio CVSS per determinare il livello di gravità di una vulnerabilità. Questo approccio è supportato dalla specifica CVSS v3.1:

Suggerimento:

I consumatori possono utilizzare le informazioni CVSS come input per un processo di gestione delle vulnerabilità dell'organizzazione che tenga conto anche di fattori che non fanno parte di CVSS al fine di classificare le minacce alla loro infrastruttura tecnologica e prendere decisioni informate in merito alla correzione. Tali fattori possono includere: numero di clienti di una linea di prodotti, perdite monetarie dovute a una violazione, minacce alla vita o alla proprietà oppure l'opinione pubblica su vulnerabilità altamente pubblicizzate. I fattori menzionati sopra non rientrano nell'ambito di applicazione del CVSS.

Nei casi in cui Atlassian adotti questo approccio, descriveremo quali fattori aggiuntivi sono stati considerati e per quale motivo al momento della divulgazione pubblica della vulnerabilità.

Di seguito sono riportati alcuni esempi di vulnerabilità che possono causare un determinato livello di gravità. Tieni presente che questa valutazione non prende in considerazione i dettagli dell'installazione e deve essere utilizzata solo come guida.

Livello di gravità: critico

Le vulnerabilità con punteggi inclusi nell'intervallo critico di solito presentano la maggior parte delle seguenti caratteristiche:

  • Lo sfruttamento della vulnerabilità comporta probabilmente una compromissione a livello principale dei server o dei dispositivi dell'infrastruttura.
  • Lo sfruttamento è di solito semplice, nel senso che l'autore dell'attacco non necessita di credenziali di autenticazione speciali o conoscenze sulle singole vittime e non ha bisogno di indurre un utente preso di mira, ad esempio tramite l'ingegneria sociale, a eseguire particolari funzioni.

Per le vulnerabilità critiche, è consigliabile applicare una patch o effettuare l'upgrade il prima possibile, a meno che non siano state adottate altre misure di mitigazione. Ad esempio, un fattore di mitigazione potrebbe essere un'installazione non accessibile da Internet.

Livello di gravità: elevato

Le vulnerabilità con punteggi nella fascia alta dell'intervallo di solito presentano alcune delle seguenti caratteristiche:

  • La vulnerabilità è difficile da sfruttare.
  • Lo sfruttamento potrebbe comportare privilegi elevati.
  • Lo sfruttamento potrebbe comportare una significativa perdita di dati o tempi di inattività.

Livello di gravità: medio

Le vulnerabilità con punteggi inclusi nell'intervallo medio di solito presentano alcune delle seguenti caratteristiche:

  • Vulnerabilità che richiedono all'autore di un attacco di manipolare le singole vittime tramite tattiche di ingegneria sociale.
  • Vulnerabilità di tipo Denial of Service, che sono difficili da configurare.
  • Exploit che richiedono che l'autore di un attacco risieda nella stessa rete locale della vittima.
  • Vulnerabilità in cui lo sfruttamento fornisce solo un accesso molto limitato.
  • Vulnerabilità che richiedono privilegi utente per uno sfruttamento corretto.

Livello di gravità: basso

Le vulnerabilità nella fascia bassa in genere hanno un impatto minimo sull'attività di un'organizzazione. Lo sfruttamento di tali vulnerabilità richiede in genere l'accesso al sistema locale o fisico. Per le vulnerabilità nel codice di terze parti che non sono raggiungibili dal codice Atlassian è possibile ridurre la gravità a un livello basso.

Timeline delle correzioni

Atlassian stabilisce obiettivi di livello di servizio per risolvere le vulnerabilità di sicurezza in base al livello di gravità per la sicurezza e al prodotto interessato. Abbiamo definito delle tempistiche per la correzione dei problemi di sicurezza in base alla nostra policy di correzione dei bug di sicurezza.

Le tempistiche di risoluzione accelerate si applicano a:

  • Tutti i prodotti Atlassian basati sul cloud
  • Jira Align (versioni cloud e autogestita)
  • Qualsiasi altro software o sistema gestito da Atlassian o in esecuzione sull'infrastruttura Atlassian

Le tempistiche di risoluzione estese si applicano a:

  • Tutti i prodotti Atlassian autogestiti
    • Si tratta di prodotti che vengono installati dai clienti sui sistemi gestiti dal cliente
    • Sono incluse le applicazioni server, data center, desktop e mobili di Atlassian

Tempistiche di risoluzione CVSS

Livelli di gravità
Accelerazione della tempistica di risoluzione
Tempistiche di risoluzione estese

Critico

 Entro 2 settimane dalla verifica Entro 90 giorni dalla verifica

Elevato

 Entro 4 settimane dalla verifica Entro 90 giorni dalla verifica

Medio

 Entro 6 settimane dalla verifica Entro 90 giorni dalla verifica

Basso

 Entro 25 settimane dalla verifica Entro 180 giorni dalla verifica