Aplikacje dostępne w Atlassian Marketplace muszą spełniać wiele wymagań dotyczących bezpieczeństwa i są stale monitorowane pod kątem wykrywania podatności. Najlepiej chronione aplikacje mają specjalne oznaczenia: Cloud Fortified i Cloud Security Participant.
Atlaasian, prócz własnych produktów, oferuje także dodatkowe aplikacje, integracje i wtyczki w Atlassian Marketplace – swoim sklepie z oprogramowaniem. Służą one do zwiększenia funkcjonalności m. in. Jira Software, Jira Service Management, Confluence i Bitbuck i wykorzystywane są w tym celu przez ponad 60% użytkowników narzędzi Atlassian.
Obecnie w Marketplace jest dostępnych 5300 różnych aplikacji dostarczanych przez 600 partnerów.
Firmy mogą mieć jednak pewne obawy przed korzystaniem z tych rozwiązań, związane z bezpieczeństwem. Nie ma ku temu podstaw, ponieważ Atlassian dba o to, by wszystkie aplikacje udostępnione w Marketplace spełniały najwyższe standardy w zakresie ochrony danych. Partnerzy muszą zastosować się obligatoryjnie do szeregu wymogów i praktyk związanych zapewnieniem bezpieczeństwa swoich produktów. Oto najważniejsze z nich:
- Aplikacja musi uwierzytelniać i autoryzować każde żądanie dostępu, we wszystkich punktach końcowych.
- Wszelkie dane użytkowników Atlassian przechowywane przez aplikację poza chmurą Atlassian muszą być w pełni zaszyfrowane, także w stanie spoczynku.
- Aplikacja musi używać protokołu TLS w wersji 1.2 (lub wyższej) do szyfrowania całego ruchu i włączać HSTS (protokół zabezpieczający komunikację internetową), w wersji nie starszej niż jeden rok.
- Aplikacja nie może gromadzić ani przechowywać danych uwierzytelniających należących do kont użytkowników Atlassian, takich jak hasła użytkowników lub tokeny API.
Najlepsze praktyki dotyczące tworzenia aplikacji Marketplace są wymienione w wytycznych dotyczących bezpieczeństwa aplikacji Marketplace (Security guidelines for Marketplace Partners).
Spis treści
Programy zwiększające bezpieczeństwo aplikacji Marketplace
Atlassian zachęca wszystkich partnerów do udziału w specjalnych programach, dotyczących stosowania najlepszych praktyk zachowania bezpieczeństwa chmurowych aplikacji. Udział w nich jest dobrowolny, ale przynosi uczestnikom dodatkowe benefity w postaci wzrostu zaufania klientów do ich produktów. Programy dla partnerów to:
- Marketplace Security Bug Bounty Program – może w nim wziąć udział każdy partner, który ma co najmniej jedną publicznie dostępną aplikacje w Marketplace. Dzięki temu programowi partnerzy mogą proaktywnie zwalczać zagrożenia bezpieczeństwa, zanim się one pojawią. Marketplace Security Bug Bounty jest hostowany na Bugcrowd, platformie SaaS stworzonej w celu odkrywania luk w zabezpieczeniach na zasadzie crowdsourcingu. Partnerzy Marketplace, którzy dołączają do tego programu, umożliwiają zewnętrznym badaczom bezpieczeństwa testowanie ich aplikacji pod kątem wyszukiwania podatności.
- Security Self-Assessment Program służy do samooceny aplikacji. Partnerzy Marketplace, którzy w nim uczestniczą, przeprowadzają coroczną ocenę bezpieczeństwa swoich prodyktów, którą Atlassian weryfikuje i zatwierdza.
Aplikacje partnerów biorących udział w programach są rozpoznawalne dla klientów, ponieważ uzyskują w Markeplace specjalnie oznaczenia, takie jak:
- "Cloud Security Participant", które wskazuje na uczestnictwo w programie Bug Bounty;
- "Cloud Fortified", które informuje, że aplikacja nie tylko uczestniczy w programie Bug Bounty, a także podjęła dodatkowe działania w celu poprawy bezpieczeństwa. Aplikacje Cloud Fortified spełniają najwyższe standardy niezawodności w zakresie bezpieczeństwa i wsparcia technicznego.
Aby uzyskać odznakę Cloud Fortified, aplikacje Marketplace muszą uczestniczyć w obu programach, w Bug Bounty oraz Security Self-Assessment Security Self-Assessment. Rozwiązania Cloud Fortified przestrzegają również bardziej rygorystycznych umów SLA dotyczących wsparcia . Jeśli aplikacja Cloud Fortified nie działa poprawnie, co utrudnia lub uniemożliwia korzystanie z niej, to partner Marketplace ma obowiązek skontaktować się z klientem w ciągu 24 godzin, 5 dni w tygodniu w lokalnych godzinach pracy.
Pomoc użytkowników w identyfikowaniu luk w aplikacjach Marketplace
Jednym z najważniejszych aspektów ochrony jest identyfikacja luk w zabezpieczeniach, dlatego Atlassian skanuje rozwiązania partnerskie w celu wykrycia podatności. Służy do tego Ecoscanner – platforma do przeprowadzania na bieżąco kontroli bezpieczeństwa wszystkich aplikacji w chmurze Marketplace pod kątem typowych luk w zabezpieczeniach.
Użytkownicy i partnerzy mogą też samodzielnie zgłaszać luki i błędy produktach Marketplace za pośrednictwem pomocy technicznej Atlassian lub centrum pomocy Atlassian. Mogą też w tym celu wykorzystać specjalny kanał w programie Vulnerability Disclosure Program. Jest on jednak dostępny tylko dla uczestników tego programu. Zespół Atlassian do spraw bezpieczeństwa selekcjonuje zgłoszenia z VDP dotyczące znalezionych nieprawidłowości i przekazuje je partnerom z nakazem ich usunięcia.
Każda luka w aplikacji Marketplace wykryta za pośrednictwem któregokolwiek z programów, staje się zgłoszeniem w Atlassian Marketplace Security (AMS) Jira Project. W ten sposób tworzy się jeden punkt z którego można śledzić pracę nad usunięciem problemu.
Czarna lista
Zasady Atlassian dotyczące polityki usuwania błędów bezpieczeństwa w aplikacjach Marketplace wymagają, aby partnerzy dotrzymywali terminów likwidacji luk w zabezpieczeniach swoich produktów. Wszystkie aplikacje naruszające politykę usuwania błędów, czyli takie, które nie usunęły ich od ponad 90 dni są publicznie wymienione na stronie App Secutity Transparency Page. Lista ta jest aktualizowana co dwa tygodnie. Atlassian nie podaje na niej dodatkowych informacji dotyczących statusu aplikacji ani charakteru luk. W celu ich otrzymania należy skontaktować się z właścicielem produktu.
Aplikacje z listy, aż do momentu naprawy nieprawidłowości, pozostają ukryte w interfejsie użytkownika Atlassian Marketplace, natomiast nowi klienci nie mogą takiej aplikacji zainstalować. Niedotrzymanie terminów usuwania luk może skutkować nie tylko tymczasowym zawieszeniem, ale też stałym usunięciem aplikacji ze sklepu.
Czy aplikacje Marketplace zachowują zgodność z regulacjami?
Jeśli firma podlega zobowiązaniom prawnym lub wewnętrznym wymogom zgodności w zakresie ochrony danych, ważne jest, aby zainstalowane aplikacje również wspierały te zobowiązania. Partnerzy są zobligowani do wypełniania obowiązków prawnych w regionach, w których prowadzą działalność. Niektóre aplikacje Marketplace przechowują dane wyłącznie w ramach produktów i usług Atlassian. W przypadku, gdy przechowują one dane na zewnątrz, czyli poza Atlassian Cloud, istnieje możliwość przypięcia danych do wybranych regionów, aby klienci byli w stanie spełnić wymagania dotyczące ochrony danych związane z ich przechowywaniem.
Na stronie admin.atlassian.com można zapoznać się z informacjami dotyczącymi rezydencji danych i zaplanować w razie czego przenoszenie danych aplikacji do innej lokalizacji.
Nadaj nowy wymiar działaniom ITSM
w Twojej Firmie
Dowiedz się, jak poprzez realizowane przez nas projekty
możemy w pełni wesprzeć Twoje działania
Różnice w poziomie zabezpieczeń wszystkich aplikacji oraz aplikacji oznaczonych jako Cloud Security Participant i Cloud Fortified.
|
| Wszystkie aplikacje
| Cloud Security Participant | Cloud Fortified |
prywatność | tak | tak | tak
| |
bezpieczeństwo | Podstawowe wymagania dotyczące bezpieczeństwa aplikacji w chmurze. | tak | tak | tak |
Monitorowane przez platformę Atlassian Ecoscanner do skanowania luk w zabezpieczeniach. | tak | tak | tak | |
Dodatkowe wymagania dotyczące bezpieczeństwa aplikacji i ramy czasowe poprawek określone przez Atlassian | tak | tak | tak | |
Udział w Marketplace Bug Bounty Program** | nie | tak | tak | |
Udział w Security Self-Assessment Program | opcja | opcja | tak | |
niezawodność | Dodatkowe kontrole niezawodności i wydajności usług. | nie | nie | tak |
Procesy wykrywania incydentów i przeglądy zintegrowane z Atlassian w celu szybszego odzyskiwania danych i ciągłego doskonalenia. | nie | nie | tak | |
wsparcie | odpowiedni poziom zapewnienia wsparcia | tak | tak | tak |
** Oprócz powyższych programów zaufania, program partnerski Marketplace wyróżnia partnerów na trzech poziomach: Platinum, Gold i Silver. Partnerzy z tymi oznaczeniami spełniają określone wymagania dotyczące bezpieczeństwa i wsparcia w zakresie swoich aplikacji.
Źródło: Atlassian
W tekście wykorzystano publikacje Atlassian, w tym Marketplace App Trust oraz Atlassian Cloud data protection
Nadaj nowy wymiar działaniom ITSM
w Twojej Firmie
Dowiedz się, jak poprzez realizowane przez nas projekty
możemy w pełni wesprzeć Twoje działania
