質問

Atlassian で月次で公開されている Security Bulletin と Atlassian 社からの脆弱性に関する通知メールの違いについて知りたいです。

回答

• 月次ドキュメントに掲載されている脆弱性とメール通知される脆弱性の違い

脆弱性の深刻度が違います。その為、脆弱性の深刻度によっては月次ドキュメントに掲載するか通知メールを送信するか判断が変わります。

Atlassian 社から通知メールが送られてくるのは、脆弱性の深刻度が「重大(Critical)」である場合です。
Atlassian 社から月次ドキュメント「Security Bulletin」に掲載されるのは、脆弱性の深刻度が「高(High)」以上である場合です。
脆弱性の深刻度が上記より低い場合は、JAC（jira.atlassian.com）のみに脆弱性の詳細が掲載されます。
課題タイプが「Public Security Vulnerability」のチケットが脆弱性の詳細となります。（深刻度が重大(Critical)・高(High)の場合もJACに掲載されます。）

• 月次報告とメール通知で切り分けている理由

脆弱性の深刻度が「重大(Critical)」の場合は、早急に対応を実施する必要があると判断されます。その為、Atlassian 社から通知メールが送られてきます。
脆弱性の深刻度が「高(High)」の場合は、脆弱性の悪用は困難な特徴がございます。脆弱性対応をしていただく必要があるかどうかは、お客様側でのご判断となるため月次でのご報告となります。

• 推奨する対応

脆弱性の深刻度が「重大(Critical)」である場合は、早急に修正されたバージョンにアップグレードしていただくなどの対策を実施して頂く必要がございます。

必要な対策につきましては、各脆弱性のドキュメントをご参照下さい。