Política de solución de errores de seguridad
Para Atlassian, es una prioridad garantizar que los sistemas de los clientes no se vean afectados por la explotación de vulnerabilidades en los productos de Atlassian.
Ámbito de aplicación
A continuación se describe cómo y cuándo resolvemos los errores de seguridad de nuestros productos. No se describe el proceso completo de divulgación o asesoramiento que seguimos.
Objetivos de nivel de servicio (SLO) para la corrección de errores de seguridad
Atlassian establece objetivos de nivel de servicio para corregir las vulnerabilidades de seguridad en función del nivel de gravedad de seguridad y del producto afectado. Hemos definido los siguientes plazos para solucionar las incidencias de seguridad de nuestros productos:
Plazos de resolución acelerados
Estos plazos se aplican a todos los productos en la nube de Atlassian y a cualquier otro software o sistema gestionado por Atlassian, o que se ejecute en infraestructura de Atlassian. También se aplican a Jira Align (tanto a la versión en la nube como a la autogestionada).
- Los errores de gravedad crítica se deben corregir en el producto en un plazo de 14 días tras su verificación
- Los errores de gravedad alta se deben corregir en el producto en un plazo de 28 días tras su verificación
- Los errores de gravedad media se deben corregir en el producto en un plazo de 42 días tras su verificación
- Los errores de gravedad baja se deben corregir en el producto en un plazo de 175 días tras su verificación
Plazos de resolución ampliados
Estos plazos se aplican a todos los productos autogestionados de Atlassian. Los productos autogestionados son aquellos que los clientes instalan en sistemas gestionados por ellos, e incluyen las aplicaciones de Server, Data Center, escritorio y dispositivos móviles de Atlassian.
- Los errores de gravedad crítica, alta y media se deben solucionar en el producto en un plazo de 90 días tras su verificación
- Los errores de gravedad baja se deben corregir en el producto en un plazo de 180 días tras su verificación
Vulnerabilidades críticas
Cuando Atlassian descubre una vulnerabilidad de seguridad crítica o un tercero la notifica, Atlassian llevará a cabo las siguientes acciones:
- Emitirá una nueva publicación corregida para la versión actual del producto afectado lo antes posible.
- Lanzará una nueva publicación de mantenimiento para una versión anterior de la siguiente manera:
Producto | Política de parches multifunción | Ejemplo |
---|---|---|
Jira Software Server y Data Center Jira Core Server y Data Center Jira Service Management Server y Data Center (anteriormente, Jira Service Desk) | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Confluence Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
Bitbucket Server y Data Center | Emite publicaciones de corrección de errores nuevas para:
| Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
Bitbucket 6.3.0 se publicó el 14 de mayo de 2019, más de 6 meses antes de la fecha de la corrección. Si se designó como publicación de soporte a largo plazo, también se producirá un lanzamiento de solución de errores. |
Solo lanzaremos publicaciones de corrección de errores nuevas para la versión de publicación de funciones actual y la anterior. | Por ejemplo, si se desarrolla una corrección de errores de seguridad críticos para Bamboo el 1 de enero de 2020, se deberán producir las siguientes publicaciones nuevas de corrección de errores:
|
For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.
Es fundamental mantenerse en la publicación más reciente de corrección de errores para la versión del producto que estás utilizando (esta es la práctica recomendada). Por ejemplo, si estás utilización Jira Software 7.5.0, deberías actualizar a Jira Software 7.5.3 de forma proactiva. Si se publica una nueva corrección de errores de seguridad, por ejemplo, Jira Software 7.5.4, el delta entre las dos versiones es mínimo (es decir, solo la corrección de seguridad), lo que facilita su aplicación.
El proceso de resolución de vulnerabilidades críticas no se aplica a nuestros productos de Atlassian Cloud, ya que Atlassian siempre corrige estos servicios sin ninguna acción adicional por parte de los clientes.
Product | Example |
---|---|
Jira Software | Example Jira Software 9.13.x because 9.13.0 is the latest feature release |
Example Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release | |
Example Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release | |
Jira Service Management | Example Jira Service Management 5.13.x because 5.13.0 is the latest feature release |
Example Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release | |
Example Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release | |
Confluence | Example Confluence 8.7.x because 8.7.0 is the latest feature release |
Example Confluence 8.5.x because 8.5.0 is the latest Long Term Support release | |
Example Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release | |
Bitbucket | Example Bitbucket 8.17.x because 8.17.0 is the latest feature release |
Example Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release | |
Example Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release | |
Bamboo | Example Bamboo 9.5.x because 9.5.0 is the latest feature release |
Example Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release | |
Crowd | Example Crowd 5.3.x because 5.3.0 is the latest feature release |
Fisheye/Crucible | Example Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release |
No other product versions would receive new bug fixes.
Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.
Vulnerabilidades no críticas
Cuando se detecta una incidencia de seguridad de una gravedad alta, media o baja, Atlassian tratará de publicar una corrección dentro de los objetivos de nivel de servicio mencionados al principio de este documento. La corrección también se puede volver a incluir en las publicaciones de soporte a largo plazo, si es factible.
Debes actualizar las instalaciones cuando se publique una corrección de errores para asegurarte de que se han aplicado las correcciones de seguridad más recientes.
Otra información
El nivel de gravedad de las vulnerabilidades se calcula en función de los niveles de gravedad de los problemas de seguridad.
Evaluamos continuamente nuestras políticas de acuerdo con los comentarios de los clientes y proporcionamos cualquier actualización o cambio en esta página.