Abordagem em relação aos testes de segurança externos

A Atlassian adota uma abordagem multifacetada em relação à garantia de segurança externa dos produtos. A gente tem um modelo sempre ativo e sempre em teste que usa recompensas por bugs de origem coletiva. Esse modelo é complementado por testes regulares de intrusão de caixa branca feitos por consultorias de segurança externas e pela equipe interna de testes de segurança.

Filosofia e abordagem da Atlassian

A Atlassian é muito conhecida por seus valores, que influenciam mesmo tudo o que faz — incluindo a abordagem para testes de segurança. Na prática, esses valores conduzem até as seguintes filosofias e abordagens:

• Bugs são uma parte inevitável do processo de desenvolvimento. A questão não é se eles existem, mas se a gente consegue encontrar e corrigir os bugs com eficiência e rapidez. Não é que a gente goste de bugs ou não esteja criando maneiras novas de reduzir a frequência e gravidade desses problemas. Quando se trata de bugs de software, a negação não é uma abordagem eficaz.
• A Atlassian apoia e usa os padrões da indústria. A padronização na terminologia e abordagem ajuda a garantir que a gente não está esquecendo de nada e ajuda os clientes a entender o que e por que a gente faz. Por exemplo, as classificações de vulnerabilidades padrão usando o Common Vulnerability Scoring System (CVSS) garantem clareza na compreensão da gravidade de vulnerabilidades específicas para a gente e os clientes. Os processos de gerenciamento de vulnerabilidades descritos na ISO 27001 e na Cloud Security Alliance (CSA) também são seguidos.
• Os pesquisadores de segurança e os testadores de intrusão terceirizados são uma extensão valiosa da equipe: se um produto da Atlassian apresentar alguma vulnerabilidade, é do interesse de todos (da Atlassian e dos clientes) que ela seja encontrada e corrigida o mais rápido possível.
  • Todo ano, a Atlassian contrata testadores de intrusão terceirizados para encontrar vulnerabilidades de segurança nos produtos e suplementar a equipe de segurança interna em compromissos que exigem conjuntos de habilidades especializadas.
  • A Atlassian também incentiva que os pesquisadores externos identifiquem vulnerabilidades nos produtos com prêmios em dinheiro do Programa de Recompensas por Bugs. Com a ajuda dos pesquisadores de segurança externos, é possível aumentar o nível da equipe muito além das abordagens tradicionais.
• A Atlassian é aberta e transparente sobre o programa de testes de segurança. A gente divulga Cartas de Atestado (LoAs) sobre os testes de intrusão feitos nos produtos e estatísticas sobre bugs encontrados no Programa de Recompensas por Bugs abaixo.

Garantia de segurança contínua

Teste de intrusão

A gente usa empresas especializadas em serviços de segurança para fazer testes de intrusão nos produtos e outros sistemas. Além disso, a Atlassian tem uma equipe interna de testes de segurança que trabalha em colaboração com consultores terceirizados para garantir a segurança técnica de projetos de alta prioridade, como uma nova função de produto (ex.: quadro branco do Confluence), nova configuração de infraestrutura (ex.: o ambiente FedRAMP) ou rearquitetura (ex.: novo tempo de execução do Forge).

Nesses casos, a Atlassian tem uma abordagem para testes de intrusão direcionada e focada. Os testes são:

• Caixa branca — Os testadores recebem a documentação do projeto e as instruções dos engenheiros de produto, além de formas de entrar em contato em caso de dúvidas durante o contrato de suporte aos testes
• Código assistido - os testadores vão ter acesso completo à base de códigos relevantes para ajudar a diagnosticar qualquer comportamento inesperado do sistema durante o teste e para identificar potenciais alvos
• Com base em ameaças — O teste aborda um cenário de ameaça específico, como imaginar que uma instância foi comprometida e testar movimentos laterais a partir desse ponto inicial
• Orientado por metodologia — Os testadores usam uma série de táticas personalizadas de teste de caixa branca, desenvolvidas com base em metodologias reconhecidas pelo setor, como o Projeto Aberto de Segurança em Aplicações Web (OWASP). Isso garante que os testes levem em conta as ameaças exclusivas da infraestrutura e das tecnologias da Atlassian.

A gente publica Cartas de Atestado (LoA)s dos parceiros de teste de intrusão, disponíveis para uso externo na parte final desta página. Devido à grande quantidade de informações internas disponibilizadas aos testadores durante essas avaliações, a gente não divulga relatórios completos. A maioria desses sistemas e produtos vai ser incluída no Programa de Recompensas por Bugs aberto ao público, dando garantia externa contínua. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Recompensa por bugs

O programa de recompensa por bugs da Atlassian é hospedado pelo Bugcrowd. Esse programa garante o teste constante dos produtos para checar vulnerabilidades de segurança.

A gente acredita que o grupo de pesquisadores de segurança independentes que participam do Programa de Recompensas por Bugs contribui para o processo eficaz de testes de segurança externos porque:

• A recompensa por bugs está sempre ativa. O teste contínuo é necessário para um ambiente de desenvolvimento ágil com lançamentos frequentes.
• Uma recompensa por bugs tem mais de 275 mil pesquisadores em potencial de mais de 100 países. Isso possibilita uma alta capacidade agregada de habilidades de pesquisadores para oferecer a garantia técnica.
• Os pesquisadores que buscam recompensas por bugs desenvolvem ferramentas especializadas e têm processamentos verticais (tipos de bugs específicos) e horizontais (recompensas específicas). Essa especialização oferece uma chance maior de identificar vulnerabilidades obscuras, mas significativas.

Mais de 30 dos produtos ou ambientes — nos produtos de inteligência artificial, produtos de nuvem, produtos de data center e aplicativos móveis que a gente tem — estão dentro do escopo do programa de recompensa por bugs. Informações sobre o número de vulnerabilidades relatadas, o tempo médio de resposta e média de pagamento são encontrados no site Bugcrowd, com mais de 3.700 pesquisadores tendo participado no programa da Atlassian.

O programa de recompensas por bugs é uma tentativa de identificar vulnerabilidades, como os tipos comuns capturados no Projeto Aberto de Segurança em Aplicações Web (OWASP) e nas listas de ameaças do Web Application Security Consortium (WASC).

Como parte da iniciativa de abertura e transparência, todos estão convidados a visitar a página do programa de recompensa por bugs, fazer a inscrição e testar os produtos.

Apps do Marketplace

Os aplicativos do Marketplace são abordados na seção Programa de Recompensas por Bugs de aplicativos da Atlassian.

Testes iniciados por clientes

A gente permite testes iniciados por clientes conforme os Termos de Uso para os produtos de nuvem. A Atlassian tem o compromisso de ser aberta e vai continuar publicando estatísticas do Programa de Recompensas por Bugs com frequência, além das LoAs.

A gente acredita que nossa abordagem oferece uma garantia abrangente de nossos produtos e serviços, mas entende que talvez você queira testar a segurança por conta própria. A Atlassian permite que sejam feitas avaliações de segurança (testes de intrusão e avaliações de vulnerabilidade) por parte dos clientes. A gente só pede que você siga algumas regras para que todos permaneçam seguros.

Relatório de vulnerabilidade

Se quiser comunicar a Atlassian sobre bugs que tiver encontrado, confira as instruções sobre como relatar vulnerabilidades.

Um dos valores da Atlassian é ser uma empresa aberta, sem papo-furado, e a divulgação de vulnerabilidades faz parte desse valor. A gente busca corrigir as vulnerabilidades de segurança relevantes nos Objetivos de Nível de Serviço (SLOs) relevantes. A Atlassian recebe solicitações de divulgação por meio dos programas de recompensas por bugs depois que os erros tiverem sido resolvidos e lançados. No entanto, a solicitação vai ser rejeitada se o relatório contiver dados do cliente. Se você planeja não fazer a divulgação por meio dos programas de recompensas por bugs, a gente pede que você avise em tempo razoável e espere até o SLO associado ter passado.

Exclusões dos nossos programas de testes de segurança

A Atlassian é transparente sobre os testes que faz. A gente também é transparente sobre os testes feitos por terceiros e sobre os que, no momento, não são feitos. Alguns tipos de vulnerabilidade de baixo risco, como enumeração e coleta de informações, não são considerados riscos significativos em geral.

Medindo aquilo que importa

A política de atualização de segurança da Atlassian especifica os prazos dos Objetivos de Nível de Serviço (SLO) para a correção de vulnerabilidades com base na gravidade e no produto. Ao avaliar habilidades, o Common Vulnerability Scoring System é utilizado, o que ajuda na comunicação da gravidade das vulnerabilidades para os clientes.

Um breve resumo

O Programa de Recompensas por Bugs, as consultorias de segurança externas e a equipe interna de testes de segurança da Atlassian formam um modelo abrangente, maduro e transparente. Isso assegura que os produtos e plataformas sejam testados e protegidos, oferecendo garantia contínua aos clientes.

Quer saber mais?

Neste breve artigo, alguns outros documentos e recursos são citados. Com eles, você pode entender melhor a abordagem da Atlassian em relação aos testes de segurança.

• Centro de Confiabilidade da Atlassian
• Práticas de segurança da Atlassian
• CSA STAR da Atlassian
• Política de correção de bugs da Atlassian
• Página do relatório de vulnerabilidades da Atlassian
• Responsabilidades por incidentes de segurança da Atlassian
• Página inicial da recompensa por bugs da Atlassian
• Programas de Recompensa por Bugs da Atlassian
  • Aplicativos do Marketplace desenvolvidos pela Recompensa por Bugs da Atlassian
  • Recompensa por Bugs do Opsgenie
  • Recompensa por Bugs do Statuspage
  • Recompensas por bugs do Trello
  • Recompensa por Bugs da Atlassian para todos os outros produtos (Jira, Confluence, Bitbucket, etc.)

Baixe os relatórios atuais de recompensas por bugs

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de captação do Programa de Recompensas por Bugs. Todas as descobertas do programa passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

• Baixe o relatório mais recente de recompensas por bugs da Atlassian (10/2025)
• Baixe o relatório mais recente de recompensas por bugs do Jira Align (10/2025)
• Baixe o relatório mais recente de recompensas por bugs do Opsgenie (10/2025)
• Baixe o relatório mais recente de recompensas por bugs do Statuspage (10/2025)
• Baixe o relatório de recompensas por bugs mais recente do Trello (10/2025)

Download das Cartas de Atestado (LoA)

Todas as vulnerabilidades de segurança identificadas nos relatórios abaixo são rastreadas no Jira interno à medida que passam pelo processo de relatório de teste de intrusão. Todas as descobertas dessas avaliações passam por triagem e são corrigidas conforme o SLO de vulnerabilidade de segurança pública.

Todas as cartas de atestado por produto podem ser baixadas da pasta de documentos no portal de confiança do cliente da Atlassian.