Close

安全缺陷修复政策

Atlassian 致力于确保客户系统不会因为 Atlassian 产品中漏洞遭到利用而受到损害,并将其作为一项首要任务。


范围

下文介绍我们会在何时以何种方式解决产品中的安全缺陷,但没有说明我们所遵循的完整披露或公告流程。

安全缺陷修复服务级别目标 (SLO)

Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们为解决产品中的安全问题定义了以下时限:

加速解决时限

以下时限适用于所有基于云的 Atlassian 产品,以及由 Atlassian 管理或在 Atlassian 基础架构中运行的所有其他软件或系统。它们也适用于 Jira Align(云版本和自行管理版本)。

  • 严重性为严重的缺陷于验证之日起 14 天内在相关产品中解决
  • 严重性为的缺陷于验证之日起 28 天内在相关产品中解决
  • 严重性为的缺陷于验证之日起 42 天内在相关产品中解决
  • 严重性为的缺陷于验证之日起 175 天内在相关产品中解决

延期解决时限

以下时限适用于所有自行管理的 Atlassian 产品。自行管理产品由客户安装在受客户管理的系统上,包括 Atlassian 的服务器、数据中心、桌面和移动应用程序。

  • 严重性为严重的缺陷于验证之日起 90 天内在相关产品中解决
  • 严重性为的缺陷于验证之日起 180 天内在相关产品中解决

严重漏洞

当 Atlassian 发现或第三方报告“严重”安全漏洞时,Atlassian 会采取以下所有措施:

  • 尽快为受影响产品的当前版本发布新的修复版本。
  • 为以往版本发布新的维护版本,如下所示:

产品
向后移植策略
示例

Jira Software Server 和 Data Center

Jira Core Server 和 Data Center

Jira Service Management Server 和 Data Center(前身为 Jira Service Desk)

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持”版本且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Jira 8.6.x,因为 8.6.0 发布于 2019 年 12 月 17 日
  • Jira 8.5.x,因为 8.5.0 发布于 2019 年 10 月 21 日
  • Jira 8.4.x,因为 8.4.0 发布于 2019 年 9 月 9 日
  • Jira 8.3.x,因为 8.3.0 发布于 2019 年 7 月 22 日
  • Jira 7.13.x,因为 7.13 是“长期支持”版本,并且 7.13.0 发布于 2018 年 11 月 28 日

Confluence Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Confluence 7.2.x,因为 7.2.0 发布于 2019 年 12 月 12 日
  • Confluence 7.1.x,因为 7.1.0 发布于 2019 年 11 月 4 日
  • Confluence 7.0.x,因为 7.0.0 发布于 2019 年 9 月 10 日
  • Confluence 6.13.x,因为 6.13 是“长期支持”版本,并且 6.13.0 发布于 2018 年 12 月 4 日

Bitbucket Server 和 Data Center

为以下版本发布新的缺陷修复版本:

  • 任何指定为“长期支持版本”且尚未达到停用日期的版本。
  • 发布时间与修复程序发布之日相距 6 个月以内的所有功能版本。

例如,如果 2020 年 1 月 1 日开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bitbucket 6.9.x,因为 6.9.0 发布于 2019 年 12 月 10 日
  • Bitbucket 6.8.x,因为 6.8.0 发布于 2019 年 11 月 6 日
  • Bitbucket 6.7.x,因为 6.7.0 发布于 2019 年 10 月 1 日
  • Bitbucket 6.6.x,因为 6.6.0 发布于 2019 年 8 月 27 日
  • Bitbucket 6.5.x,因为 6.5.0 发布于 2019 年 7 月 24 日

Bitbucket 6.3.0 发布于 2019 年 5 月 14 日,距离修复日期超过了 6 个月。如果它已被指定为“长期支持”版本,则也会生成缺陷修复版本。

所有其他产品(BambooCrucibleFisheye,等等)

我们只会为当前和上一功能版本发布新的缺陷修复版本。

例如,如果 2020 年 1 月 1 日为 Bamboo 开发了严重安全缺陷的修复程序,则需要生成下列新的缺陷修复版本:

  • Bamboo 6.10.x,因为它于 2019 年 9 月 17 日发布,并且是当前版本
  • Bamboo 6.9.x,因为 6.9.0 是上一版本

For Crowd, Fisheye, and Crucible, we will provide a bug fix release for the latest feature release of the affected product.

您须确保升级为所用产品版本的最新缺陷修复版本,这是一项最佳实践。例如,如果使用的是 Jira Software 7.5.0,您应当主动升级到 Jira Software 7.5.3。发布了新的安全缺陷修复程序时,例如 Jira Software 7.5.4,两个版本之间的变化很小(即,仅安全修复程序而已),应用起来就更加容易。

严重漏洞解决流程不适用于我们的 Atlassian Cloud 产品,因为这些服务始终由 Atlassian 修复,无需客户执行任何额外操作。

Product

Example

Jira Software

Example

Jira Software 9.13.x because 9.13.0 is the latest feature release

Example

Jira Software 9.12.x because 9.12.0 is the latest Long Term Support release

Example

Jira Software 9.4.x because 9.4.0 is the previous Long Term Support release

Jira Service Management

Example

Jira Service Management 5.13.x because 5.13.0 is the latest feature release

Example

Jira Service Management 5.12.x because 5.12.0 is the latest Long Term Support release

Example

Jira Service Management 5.4.x because 5.4.0 is the second latest supported Long Term Support release

Confluence

Example

Confluence 8.7.x because 8.7.0 is the latest feature release

Example

Confluence 8.5.x because 8.5.0 is the latest Long Term Support release

Example

Confluence 7.19.x because 7.19.0 is the second latest supported Long Term Support release

Bitbucket

Example

Bitbucket 8.17.x because 8.17.0 is the latest feature release

Example

Bitbucket 8.9.x because 8.9.0 is the latest Long Term Support release

Example

Bitbucket 7.21.x because 7.21.0 is the second latest supported Long Term Support release

Bamboo

Example

Bamboo 9.5.x because 9.5.0 is the latest feature release

Example

Bamboo 9.2.x because 9.2.0 is the latest Long Term Support release

Crowd

Example

Crowd 5.3.x because 5.3.0 is the latest feature release

Fisheye/Crucible

Example

Fisheye/Crucible 4.8.x because 4.8.0 is the latest feature release

No other product versions would receive new bug fixes.

Frequent upgrades ensure that your product instances are secure. It's a best practice to stay on the latest bug fix release of the latest feature release or LTS release of your product.

非严重漏洞

当发现严重性为“高”、“中”或“低”的安全问题时,Atlassian 将在本文档开头列出的服务级别目标范围内发布修复程序。可行时,此修复程序也可能向后移植到“长期支持”版本。

有缺陷修复版本可用时,应升级您的安装,以确保应用最新的安全修复程序。

其他信息

漏洞的严重性级别是根据安全问题严重性级别计算的。

我们会基于客户反馈持续评估我们的政策,并在此页面上提供所有更新或变更。

常见问题

为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? Copy link to heading Copied! 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。

为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? Copy link to heading Copied! 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。

为什么 Bitbucket、Jira 和 Confluence 只涵盖 6 个月的功能版本? Copy link to heading Copied! 显示更多
  

Bitbucket Server 版本发布非常频繁,因此 6 个月会覆盖 5-6 个主要版本。从 2017 年年中起,Jira 和 Confluence 已转向类似的发布节奏,现在每年也会发布 5-6 次。

什么是“长期支持版本”? Copy link to heading Copied! 显示更多
  

“长期支持”版本面向 Server 和 Data Center 客户,他们希望有更多时间来准备升级到新功能版本,但同时仍需获取缺陷修复程序。某些产品会将特定版本指定为“长期支持”版本;换言之,在整整 2 年支持期间都会提供安全缺陷修复。

什么是“功能版本”? Copy link to heading Copied! 显示更多
  

功能版本是包含新功能或现有功能重大变更的版本,尚未指定为“长期支持”版本。有关我们版本发布术语的更多信息,请参阅“Atlassian 缺陷修复政策”。