我们的外部安全测试方法

Atlassian 采取了多方面的方法来保障我们产品的外部安全。我们有一个永远在线、始终测试的模型，该模型利用众包缺陷赏金计划，并辅以外部安全咨询团队和我们的内部安全测试团队定期进行的白盒渗透测试。

我们的理念和方法

Atlassian 以我们的价值观而闻名于世，这些价值观真真切切地影响着我们所做的一切，包括我们的安全测试方法。在实践中，我们的价值观促使我们采用以下理念和方法：

• 缺陷是开发过程中不可避免的一部分 — 问题不在于我们有没有缺陷，而在于我们能够以多快的速度、多高的效率找到并解决它们。这并不意味着我们喜欢缺陷，也不意味着我们没有不断地创新方法来降低缺陷的频率和严重性，但是否认并不是解决软件缺陷的实用方法。
• 我们支持并采用行业标准。实现术语和方法的标准化有助于我们确保面面俱到，也能帮助客户了解我们所做的工作和这样做的原因。例如，使用通用漏洞评分系统 (CVSS) 对漏洞进行标准评级，可确保我们与客户双方都清楚特定漏洞的严重程度。此外，我们还遵循 ISO 27001 和云安全联盟 (CSA) 规定的漏洞管理流程。
• 第三方安全研究人员和渗透测试人员是我们团队的重要延伸。如果 Atlassian 产品存在漏洞，那么尽快找到并修复漏洞符合所有人的利益，不仅是我们自身，也包括我们的客户。
  • Atlassian 每年会聘请独立的第三方渗透测试人员来发现我们产品中的安全漏洞，并在需要高度专业技能组合的项目中补充我们的内部安全团队。
  • Atlassian 还推出了现金奖励的缺陷赏金计划，以激励外部研究人员找出我们产品中的漏洞。有了外部安全研究人员的支援，我们就能以远超传统的方式扩展我们的团队！
• 我们的安全测试计划是开放且透明的 — 我们会针对在我们的产品上执行的渗透测试提供评估报告 (LoA)，还会提供有关通过我们下面的缺陷赏金计划找到的缺陷的统计数据。

持续的安全保障

渗透测试

我们会邀请专业安全服务公司来完成对我们产品和其他系统的渗透测试。除此之外，我们还有一个内部安全测试团队，他们与第三方顾问合作，为高优先级项目（例如，新产品功能 [例如 Confluence 白板]、新基础架构设置 [例如我们的 FedRAMP 环境] 或重新架构 [例如新 Forge 运行时]）提供技术安全保障。

在这些情况下，我们的渗透测试方法具有了针对性和侧重性。此类测试包括：

• 白盒 — 我们的产品工程师将向测试人员提供设计文档和简报，这些测试人员可以联系我们的产品工程师来解决合作期间遇到的问题，以支持他们的测试工作
• 代码辅助 - 测试人员可以不受限地访问相关的代码库，以协助诊断测试期间的所有意外系统行为，并识别潜在的目标
• 基于威胁 — 测试将聚焦于特定的威胁场景，例如假设存在受损的实例，测试从该起点开始的横向移动
• 方法驱动 — 测试人员使用一系列量身定制的白盒测试游戏，这些游戏基于行业认可的方法（例如开放 Web 应用安全项目 [OWASP]）而构建。这样可以确保测试能够考虑 Atlassian 基础架构和技术所特有的威胁。

本页底部贴出了来自我们的渗透测试合作伙伴的评估报告 (LoA)，以供外部取用。由于测试人员在进行这些评估时可以访问广泛的内部信息，因此我们不提供完整的报告。其中的大部分系统和产品会纳入我们的公开缺陷赏金计划，从而提供持续的外部保证。这些评估的任何结果都将根据我们的公共安全漏洞 SLO 进行分类和补救。

缺陷赏金计划

我们的缺陷赏金计划由 Bugcrowd 托管。该计划可确保我们的产品不断接受安全漏洞测试。

我们认为，由独立的安全研究人员群体参与我们的缺陷赏金计划有助于提供有效的外部安全测试流程，原因如下：

• 缺陷赏金计划始终开放。要在频繁进行版本发布的情况下实现真正敏捷的开发环境，就必须进行持续测试。
• 缺陷赏金计划有 60,000 多名潜在研究人员。该计划实现了研究人员技术能力的高度聚集，从而提供技术保障。
• 缺陷赏金计划研究人员开发专门的工具，并且能够进行垂直（特定缺陷类型）和水平（特定赏金）处理。这种专业度为识别模糊但重大的漏洞提供了最大的机会。

More than 25 of our products or environments – across our Data Center products, mobile apps, and Cloud products – are in-scope for our bug bounty program. Details of the number of vulnerabilities reported, our average response time, and our average payout are all included on the Bugcrowd site, with more than 2,800 researchers having registered specifically for our program.

我们希望通过缺陷赏金计划识别的漏洞包括开放 Web 应用安全项目 (OWASP) 和 Web 应用安全联盟 (WASC) 威胁列表中收录的常见类型。

作为我们开放和透明计划的一部分，欢迎大家访问我们的缺陷赏金计划页面，注册参加该计划并来考验我们。

Marketplace 应用

Marketplace 应用包含在 Atlassian 主办的单独缺陷赏金计划中，例如漏洞披露计划和 Atlassian 构建的应用缺陷赏金计划。

客户发起的测试

我们允许客户根据我们的云产品使用条款发起测试。我们致力于保持开放，并将持续定期发布我们的缺陷赏金计划的统计数据。

在我们看来，缺陷赏金计划为评估我们产品和服务的安全性提供了更为有效、更经济的方法，但我们也理解，您可能希望自行测试安全性。我们允许客户执行安全评估（渗透测试、漏洞评估），但有一个要求，您必须遵守一些规则来确保我们所有人的安全。

漏洞报告

如果您发现了问题并想向 Atlassian 提交报告，请参阅有关报告漏洞的说明。

Atlassian 的价值观之一就是开放的公司，绝无虚言，同时我们认为漏洞披露就是这一价值观的组成部分。我们的目标是在相关的服务级别目标 (SLO) 政策内修复安全漏洞。在问题得到解决并发布到生产环境后，我们接受通过缺陷赏金计划提披露请求。但是，如果报告包含任何客户数据，则该请求将被拒绝。如果您打算通过我们的缺陷赏金计划之外的途径进行披露，那么我们会要求您向我们发出合理的通知，然后等待关联的 SLO 通过。

我们安全测试计划以外的排除项

正如我们对所做的测试保持公开透明一样，我们也对自己不做或目前不支持的测试保持公开透明。诸如枚举和信息收集等某些低风险漏洞类型通常不被视为重大风险。

衡量正确的指标

我们的安全缺陷修复政策根据严重性和产品，规定了漏洞修复服务级别目标 (SLO) 的时间范围。在评估漏洞时，我们会使用通用漏洞评分系统，这样有助于向客户传达漏洞严重性。

总结

Atlassian 的众包缺陷赏金计划、外部安全咨询和我们的内部安全测试团队构成了一个全面、成熟和透明的模式。这可确保我们的产品和平台不断接受测试和保护，从而为客户提供持续的保障。

想要深入了解？

这篇短文中提到了不少其他文档和资源，如果您想进一步了解我们的安全测试方法，我们鼓励您深入阅读这些文档和资源。

• Atlassian Trust Center
• Atlassian 安全实践
• Atlassian 的 CSA STAR
• Atlassian 缺陷修复政策
• Atlassian 漏洞报告页面
• Atlassian 安全事件责任
• Atlassian 缺陷赏金计划主页
• Atlassian 缺陷赏金计划
  • 由 Atlassian 缺陷赏金计划构建的 Marketplace 应用
  • 由第三方供应商缺陷赏金计划构建的 Marketplace 应用
  • Opsgenie 缺陷赏金计划
  • Statuspage 缺陷赏金计划
  • Trello 缺陷赏金计划
  • Halp 缺陷赏金计划
  • 面向所有其他产品（Jira、Confluence、Bitbucket 等）的 Atlassian 缺陷赏金计划

下载最新的缺陷赏金报告

在以下报告中指明的任何安全漏洞如果是通过缺陷赏金计划承接流程受理的，都会在我们的内部 Jira 中进行跟踪。来自缺陷赏金计划的任何结果都会根据我们的公共安全漏洞 SLO 进行分类和补救。

• 下载最新的 Atlassian 缺陷赏金报告 (2024-01)
• 下载最新的 Halp 缺陷赏金报告 (2024-01)
• 下载最新的 Jira Align 缺陷赏金报告 (2024-01)
• 下载最新的 Opsgenie 缺陷赏金报告 (2024-01)
• 下载最新的 Statuspage 缺陷赏金报告 (2024-01)
• 下载最新的 Trello 缺陷赏金报告 (2024-01)

下载年度缺陷赏金报告

除季度缺陷赏金更新外，我们还发布了缺陷赏金计划的年度报告。此报告可让我们的客户深入了解该计划的进展，并提供有关已发现漏洞类型的详细信息。

• 下载 2023 财年 Atlassian 缺陷赏金报告（2022 年 7 月至 2023 年 6 月）

下载评估报告 (LoA)

在以下报告中指明的任何安全漏洞如果是通过渗透测试报告流程受理的，都会在我们的内部 Jira 中进行跟踪。这些评估的任何结果都将根据我们的公共安全漏洞 SLO 进行分类和补救。

• Bitbucket Pipelines 评估报告 (2022-05)
• Jira Cloud Google OAuth 评估报告 (2021-07)
• Confluence 和 Jira 的 Atlassian Log4j 库评估报告 (2022-12)
• Statuspage Cloud 评估报告 (2022-12)
• Jira Software (Cloud) 评估报告 (2023-02)
• Bamboo 评估报告 (2023-02)
• Jira Product Discovery 评估报告 (2023-03)
• Atlas 评估报告 (2023-04)
• Atlassian Analytics 可视化平台评估报告 (2023-05)
• Fisheye、Crucible Server 和 Data Center 评估信 (2023-05)
• Jira Server 和 Data Center 评估报告 (2023-05)
• Compass Cloud 评估报告（2023 年 5 月）
• Jira Align 评估报告 (2023-06)
• Atlassian Access 评估报告 (2023-06)
• Crowd Server 和 Data Center 评估报告 (2023-06)
• Atlassian Assist 评估报告 (2023-07)
• Bitbucket Server 和 DC 评估报告 (2023-07)
• SourceTree 评估报告 (2022-08)
• Jira Service Management 和 Opsgenie Cloud 评估报告 (2023-09)
• Beacon 评估报告（Web 应用）（2023 年 9 月）
• Jira Service Management Data Center 评估报告 (2023-12)
• Confluence Cloud 评估报告 (2023-12)
• Trello 评估报告 (2024-01)
• Bitbucket Cloud 评估报告 (2024-02)
• Jira Work Management 评估报告 (2024-02)
• Confluence Data Center 评估报告 (2024-02)