Atlassian möchte seinen Kunden besseren Support und mehr Sicherheit bieten. Dafür ändert das Unternehmen die Richtlinien für Security Bugfixes und seine End-of-Life Policy. Bislang war nicht genau definiert für welche Versionen Atlassian sicherheitskritische Fixes liefert. Die Regelung für den End-of-Life von Versionen wurde ebenfalls besser definiert und bietet den Kunden nun eine gute Orientierung für die Planung von Updates.
Was tun bei einem Security Bugfix?
Künftig werden Security Fixes nur noch für alle Major Versionen (z.B. JIRA 6.1, 6.2…) von Confluence und JIRA der letzten 12 Monate veröffentlicht. Dies erfolgt nun in Form kompletter Minor Versionen (z.B. JIRA 6.3.6) der Software. Somit ist es in Zukunft in jedem Fall erforderlich ein Update des Systems durchzuführen, um die Fixes einzuspielen. Bislang wurden diese Fixes als separate Patches geliefert wobei ein Update nicht in jedem Fall nötig war.
An einem Beispiel erklärt: Atlassian veröffentlicht am 06.09.2014 einen kritischen Security Fix. Um den Fix einspielen zu können, ist ein Update auf einer der folgenden Versionen von JIRA erforderlich:
- Letzte JIRA 6.3.x (denn JIRA 6.3 ist das aktuelle JIRA Release)
- JIRA 6.2.x (denn JIRA 6.2 wurde am 25.02.2014 veröffentlicht)
- JIRA 6.1.x (denn JIRA 6.1 wurde am 23.09.2013 veröffentlicht)
Ältere JIRA Versionen würden keine Updates erhalten und wären somit weiterhin für den fiktiven Fehler anfällig.
Für andere Atlassian Produkte unterscheiden sich die Regelungen leicht. Weitere Details dazu sind auf der Atlassian Seite nachzulesen: Atlassian Security Policy
Wie lange werden Versionen in Zukunft supportet
Der Support für ältere Versionen der Atlassian Produkte endet zwei Jahre nach der Veröffentlichung der jeweils ersten Version des Versionszweiges (z.B. Confluence 5.6.0). Bislang wurde die komplette Major Version supportet, wenn das letzte Minor Release nicht länger als zwei Jahre zurück lag.
Atlassian stellt eine Seite bereit in der das End-of-Life Datum für alle Softwareversionen angegeben ist: Atlassian End of Life Policy.
Unsere Empfehlung lautete bislang: Jedes Jahr mindestens ein Update einplanen! Daran werden wir nichts ändern.