お知らせ: セキュリティ バグ修正ポリシーの変更予定

このページでは、セキュリティ バグ修正ポリシーの今後の変更の概要を説明します。

Data Center 製品では、機能リリースと長期サポート (LTS) リリースの 2 つの異なるリリース タイプ向けにセキュリティ バグ修正が提供されています。

• 現在: クリティカルな脆弱性が発見された場合、リリースから 6 か月未満のすべての機能リリースと、すべてのサポート対象の LTS リリースに対するバグ修正リリースを提供します。

• 今後: クリティカルな脆弱性が見つかった場合、最新の機能リリースと、すべてのサポート対象の LTS リリースのみに対するバグ修正リリースを提供します。

以前のポリシーと新しいポリシーの比較

新しいセキュリティ バグ修正ポリシー

範囲

このポリシーでは、製品のセキュリティ上の脆弱性がいつどのように解決されるかを説明しています。

セキュリティ バグ修正のサービスレベル目標 (SLO)

アトラシアンでは、セキュリティの重大度と影響を受ける製品に基づいてセキュリティの脆弱性を修正するためのサービス レベル目標を設定しています。アトラシアンでは、製品のセキュリティ問題の修正にあたり、次の目標時間枠を設定しています。

早期解決目標

この期間はすべてのクラウドベースのアトラシアン製品、およびアトラシアンの管理下にある、あるいはアトラシアンのインフラストラクチャで稼働するその他のソフトウェアまたはシステムすべてに適用されます。また、Jira Align (クラウドとオンプレミス バージョンの両方) にも適用されます。

• 重大度レベルがクリティカルである製品のバグは確認後 14 日以内に修正

• 重大度レベルが高である製品のバグは確認後 28 日以内に修正

• 重大度レベルが中である製品のバグは確認後 42 日以内に修正

• 重大度レベルが低である製品のバグは確認後 175 日以内に修正

延長解決期間

この目標はすべてのオンプレミスのアトラシアン製品に適用されます。オンプレミス製品とは、お客様が管理するシステムにお客様自身がインストールしたものであり、アトラシアンの Data Center およびモバイル アプリを含みます。

• 重大度レベルがクリティカル、高、および中である製品のバグは確認後 90 日以内に修正

• 重大度レベルが低である製品のバグは確認後 180 日以内に修正

重大な脆弱性

重大なセキュリティ脆弱性をアトラシアンが発見した、またはそれがサードパーティから報告された場合、アトラシアンは次のことを行います。

• クラウド製品については、影響を受ける製品の新しい修正済みリリースを可能な限り早く提供します

• オンプレミス製品については、次のことを行います。

  • 影響を受けた製品の最新の機能リリースに対するバグ修正リリースを提供

  • 影響を受けた製品の新しい機能リリースをリリース スケジュールに従って提供

  • アトラシアンのサポート終了ポリシーに従い、影響を受けた製品のすべてのサポート対象の LTS リリースに対応するバグ修正リリースを提供

Crowd、Fisheye、および Crucible については、影響を受けた製品の最新の機能リリースのバグ修正リリースを提供します。

オンプレミス製品のクリティカルな脆弱性の修正の例:

重大な脆弱性の修正が 2024 年 2 月 1 日に開発された場合にバグ修正を受けるリリースの例は次のようになります。

• Jira Software

  • Jira Software 9.13.x: 9.13.0 は最新の機能リリースであるため

  • Jira Software 9.12.x: 9.12.0 は最新の長期サポート リリースであるため

  • Jira Software 9.4.x: 9.4.0 は前回の長期サポート リリースであるため

• Jira Service Management

  • Jira Service Management 5.13.x: 5.13.0 は最新の機能リリースであるため

  • Jira Service Management 5.12.x: 5.12.0 は最新の長期サポート リリースであるため

  • Jira Service Management 5.4.x: 5.4.0 はサポート対象の 2 つめの長期サポート リリースであるため

• Confluence

  • Confluence 8.7.x: 8.7.0 は最新の機能リリースであるため

  • Confluence 8.5.x: 8.5.0 は最新の長期サポート リリースであるため

  • Confluence 7.19.x: 7.19.0 はサポート対象の 2 つめの長期サポート リリースであるため

• Bitbucket

  • Bitbucket 8.17.x: 8.17.0 は最新の機能リリースであるため

  • Bitbucket 8.9.x: 8.9.0 は最新の長期サポート リリースであるため

  • Bitbucket 7.21.x: 7.21.0 はサポート対象の 2 つめの長期サポート リリースであるため

• Bamboo

  • Bamboo 9.5.x: 9.5.0 は最新の機能リリースであるため

  • Bamboo 9.2.x: 9.2.0 は最新の長期サポート リリースであるため

• Crowd 5.3.x: 5.3.0 は最新の機能リリースであるため

• Fisheye/Crucible 4.8.x: 4.8.0 は最新の機能リリースであるため

他の製品バージョンに対する新しいバグ修正は提供されません。

頻繁にアップグレードすることで、製品インスタンスの安全性が確保されます。ベスト プラクティスとして、製品の最新の機能リリースまたは LTS リリースの最新のバグ修正リリースを利用し続けることをおすすめします。

緊急度の低い脆弱性

重大度レベルが高、中、または低のセキュリティ問題が発見された場合、アトラシアンはこのドキュメントの冒頭に記載されているサービス レベル目標内に修正をリリースすることを目指します。修正は長期サポート リリースにバックポートされる場合もあります。バックポートの有無は、複雑性、アーキテクチャの変更、互換性などの要因によって決定されます。

バグ修正リリースが利用可能になったらご利用の環境をアップグレードして、最新のセキュリティ修正が適用されていることを確認してください。

その他の情報

脆弱性の重大度レベルは、セキュリティ問題の重大度レベルに基づいて計算されます。

アトラシアンでは、お客様のフィードバックに基づいてポリシーを継続的に評価し、更新または変更があった場合はこちらのページでご案内します。 

FAQ

セキュリティ バグ修正とは何ですか?

セキュリティ バグ修正とは、ハッカーに悪用される可能性のある脆弱性に対処するためにシステムやアプリに加えられる一連の変更です。 このような脆弱性はセキュリティ バグとも呼ばれ、不正アクセス、データ盗難、またはその他の悪意のある行為につながる可能性があります。

脆弱性とは何ですか?

脆弱性とは、脅威やリスクによって悪用される可能性のある弱点や欠陥を指します。 サイバーセキュリティの文脈における脆弱性としては、権限のないユーザーがアクセスして損害を与えることのできる、ソフトウェア、ネットワーク、またはシステムの欠陥が考えられます。これには、古いソフトウェア、脆弱なパスワード、データ暗号化の欠如などが含まれます。

Data Center 製品で修正済みの脆弱性の詳細はどこで確認できますか?

アトラシアンでは毎月セキュリティ勧告を発行しているほか、Vulnerability Disclosure Portal へのアクセスを提供しています。Vulnerability Disclosure Portal は、当社の任意の製品で見つかった脆弱性ついての情報を集めた中央のハブです。Security Bulletin のリリースに合わせて毎月更新され、過去のお知らせのデータを簡単に検索してアクセスできます。

長期サポート リリースとは何ですか?

長期サポート リリースとは、新しい機能バージョンへのアップグレードの準備に時間を要するものの、バグ修正の受け取りを希望する、Data Center のお客様用のリリースです。一部の製品では特定のバージョンを長期サポート リリースとして指定しており、この場合、丸 2 年間のセキュリティ バグ修正サポートが提供されます。

機能リリースとは何ですか?

機能リリースとは、新機能または既存の機能に加えられた重大な変更を含み、長期サポート リリースに指定されていないバージョン (例: Jira Software 9.11) を指します。アトラシアンのバグ修正ポリシーの詳細をご確認ください。

当社では、ソフトウェアのセキュリティを強化し、アップデートをより迅速かつ頻繁に提供するための最も効果的な方法を開発することを目指しています。最新の機能リリースには最新のセキュリティ修正と機能強化が含まれているため、アップグレードの検討時には最も安全で安定した製品バージョンであることを確信できます。