※ 本記事は、Erin Jensby が 2023 年 8 月 10 日に公開した英語記事「Mark Your Calendars: Introducing Monthly Security Disclosures」を翻訳したものです。内容に相違が見受けられる場合、英文ページの内容を正とします。
アトラシアンの Server 製品および DC 製品を安全に保つための第一歩は、最新の状態に保つことです。最新の状態に維持しやすいよう、新しいセキュリティ情報 (Security Bulltin) を毎月公開し、脆弱性開示ポータル (Vulnerability Disclosure Portal) より検索可能にしています。先月から開始されたこれらの開示により、定期メンテナンス スケジュールのアップデートを提供することでセキュリティのベスト プラクティスを支え、各新バージョンで軽減されるリスクの範囲について透明性を高めています。アトラシアンは、早急に対応が必要な脆弱性については、引き続き、重大なセキュリティ勧告 (Critical Security Advisory) を発行します。
毎月第 3 火曜日に、セキュリティ情報がセキュリティ アドバイザリーに投稿され、開示された脆弱性はアトラシアンの脆弱性開示ポータル (Security at Atlassian: Vulnerabilities) に追加されます。セキュリティ情報アラートは、メール設定の [Tech Alerts] セクションで登録できます。
アトラシアンの新しいセキュリティ開示の詳細については、以下をご覧ください。
セキュリティ情報では、新しいバージョンで軽減される脆弱性に関する詳細情報を提供しています。それにより、早急な対応を必要とする重大なセキュリティ勧告以外の製品のアップデートについて、より多くの情報に基づいた判断ができます。
バージョン アップの推奨に加え、各セキュリティ情報には、脆弱性の概要、CVSS スコアおよび深刻度 (深刻度はリスクを反映していません。CVSS についての詳細はこちら)、CVE ID、jira.atlassian.com 上の詳細チケットへのリンクが含まれています。
脆弱性開示ポータルは、開示された弊社製品における脆弱性に関する情報の中心的なハブの役割を提供します。各セキュリティ情報のリリースに合わせて毎月更新され、過去のセキュリティ情報のデータを簡単に検索して確認できます。
プログラムでこれらのデータにアクセスしたいお客様は、Security Vulnerability API を通じてポータルデータおよびフィルター機能を利用することもできます。
脆弱性開示ポータル: Security at Atlassian: Vulnerabilities
各 CVE をクリックすると、詳細を確認できます。
セキュリティ情報の開示には、当社の Server および DC 製品に関する固有の重要な脆弱性、深刻度の高い脆弱性や依存関係の脆弱性が含まれます。
いいえ、セキュリティ情報は Server および DC 製品のみを対象としています。アトラシアンは、クラウドの脆弱性に対しシームレスにパッチを適用できます。アトラシアンのクラウド セキュリティについては、セキュリティ ページ をご覧ください。
タイムリーに新しいバージョンにアップグレードすることが、アトラシアンの Server および DC 製品のセキュリティを維持するために重要です。早急な対応が必要な脆弱性については引き続き重大なセキュリティ勧告を発行します。セキュリティ情報は、定期メンテナンス スケジュールでサポート可能なクリティカルではないものの情報を提供することを目的としています
いいえ。セキュリティ情報およびポータルは、修正済みの脆弱性を開示する機能を強化するものであり、脆弱性を特定し修正するためのプロセス変更を反映したものではありません。この新しい開示で確認できる修正済みの脆弱性の種類は、以前リリースされた製品バージョンで修正されているものです。新たに月次ペースで開示することにより、各新バージョンで緩和された脆弱性のリスト (最も緊急なものに限らず) についてより透明性を高め、定期メンテナンス スケジュールによるセキュリティのベスト プラクティスを促すためのものです。アトラシアンは、早急な対応が必要な脆弱性については、引き続き重大なセキュリティ勧告を発行します。
次のセキュリティ情報は、2023年8月15日に公開され、ここで 確認できます。
S. Ishida
0 comments