Close

安全问题的严重性级别


漏洞来源

  • 安全扫描程序请求单,例如 Nexpose、Cloud Conformity、Snyk 提交的请求单
  • 安全研究人员通过 Bugcrowd 发现了漏洞悬赏结果
  • 安全团队在审查中报告的安全漏洞
  • Atlassian 员工报告的安全漏洞

严重性框架和评级

Atlassian 使用通用漏洞评分系统 (CVSS) 作为评估安全风险和确定每个发现漏洞优先级的方法。CVSS 是一种行业标准漏洞指标。您可在 FIRST.org 上了解有关 CVSS 的更多信息。

严重性级别

Atlassian 安全公告包括严重性级别。此严重性级别基于我们针对每个特定漏洞自行计算的 CVSS 分数。

  • 紧急

对于 CVSS v3,Atlassian 使用以下严重性评级体系:

CVSS V3 分数范围
公告中的严重性

9.0 - 10.0

紧急

7.0 - 8.9

4.0 - 6.9

0.1 - 3.9

某些情况下,Atlassian 可能会使用与 CVSS 评分无关的其他因素来确定漏洞的严重性级别。CVSS v3.1 规范支持此方法:

专业提示:

消费者可以使用 CVSS 信息作为组织漏洞管理流程的输入,该流程还会考虑不属于 CVSS 的因素,以便对其技术基础架构的威胁进行排名并做出明智的补救决策。这些因素可能包括:产品线上的客户数量、因违规行为造成的金钱损失、生命或财产受到威胁,或者公众对广泛关注的漏洞的意见。这些不在 CVSS 的范围之内。

在 Atlassian 采用此方法的情况下,我们将说明在公开披露漏洞时考虑了哪些其他因素以及原因。

以下是可能导致特定严重性级别的某些漏洞示例。请记住,此评级未考虑您的安装细节,仅用作指导。

严重性级别:严重

得分在严重范围内的漏洞通常具有以下大多数特征:

  • 利用此漏洞可能会导致服务器或基础设施设备的根级破坏。
  • 利用通常是直截了当的,即攻击者不需要任何特殊的授权凭证或关于个别受害者的知识,也不需要说服目标用户(例如通过社交工程)执行任何特殊功能。

对于严重漏洞,建议您尽快修补或升级,除非您有其他缓解措施。例如,如果无法从网络访问您的安装,则可算作一个缓解因素。

严重性级别:高

处于较高评分范围的漏洞通常具有以下某些特征:

  • 该漏洞很难被利用。
  • 利用漏洞可能导致权限提升。
  • 利用漏洞可能会导致严重的数据丢失或停机。

严重性级别:中

处于中等评分范围的漏洞通常具有以下某些特征:

  • 需要攻击者通过社交工程手段操纵个人受害者的漏洞。
  • 难以设置的拒绝服务漏洞。
  • 要求攻击者与受害者驻留在同一本地网络上的漏洞。
  • 利用漏洞只能提供非常有限的访问权限。
  • 需要用户权限才能成功利用的漏洞。

严重性级别:低

处于低得分范围的漏洞通常对组织的业务影响很小。利用此类漏洞通常需要本地或物理系统访问权限。第三方代码中无法通过 Atlassian 代码访问的漏洞可能会降级为低严重性。

补救时间线

Atlassian 根据安全问题严重性级别和受影响的产品来设置修复安全漏洞的服务级别目标。我们已经根据我们的安全错误修复政策定义了修复安全问题的时限。

加速解决时限适用于:

  • 所有基于云的 Atlassian 产品
  • Jira Align(云端和自行管理版本)
  • 由 Atlassian 管理或在 Atlassian 基础架构上运行的任何其他软件或系统

延期解决时限适用于:

  • 所有自行管理的 Atlassian 产品
    • 这些产品由客户安装在客户管理的系统上
    • 这包括 Atlassian 的服务器、数据中心、桌面和移动应用

CVSS 解决时限

严重性级别
加速解决时限
延期解决时限

紧急

通过验证后 2 周内 通过验证后 90 天内

通过验证后 4 周内 通过验证后 90 天内

通过验证后 6 周内 通过验证后 90 天内

通过验证后 25 周内 通过验证后 180 天内