質問

1. Atlassian からのメールで脆弱性の通知には以下の2種類があるようですが、それぞれの違いついて知りたいです。

   • 「Upcoming security bulletin from Atlassian」(月ごとの通知)

   • 「Security Advisory」 (随時通知)

2. 「Security Advisory」 は直ぐに通知され、「Upcoming security bulletin」 は毎月ごとに通知されます。どういったタイミングで 「Security Advisory」が通知されるのでしょうか。

回答

• 脆弱性の通知メール「Upcoming security bulletin from Atlassian」と「Security Advisory」の違い

脆弱性の深刻度が違います。

Atlassian 社から「Security Advisory」というタイトルで、随時通知メールが送られてくるのは、脆弱性の深刻度が「重大(Critical)」である場合です。

Atlassian 社から毎月配信される「Upcoming security bulletin from Atlassian」には、脆弱性の深刻度が「高(High)」以上の セキュリティ情報が、「Security Bulletin」という当月のドキュメントに掲載された旨の通知メールとなります。

脆弱性の深刻度が上記より低い場合は、JAC（jira.atlassian.com）のみに脆弱性の詳細が掲載されます。
課題タイプが「Public Security Vulnerability」のチケットが脆弱性の詳細となります。（深刻度が重大(Critical)・高(High)の場合もJACに掲載されます。）

• Security Advisory の通知タイミング

脆弱性の深刻度が「重大(Critical)」の場合は、早急に対応を実施する必要があると判断されます。その為、「Security Advisory」というタイトルで即時にAtlassian 社から通知メールが送られてきます。
脆弱性の深刻度が「高(High)」の場合は、脆弱性の悪用は困難な特徴がございます。脆弱性対応をしていただく必要があるかどうかは、お客様側でのご判断となるため月次メールでのご報告となります。

推奨する対応

脆弱性の深刻度が「重大(Critical)」である場合は、早急に修正されたバージョンにアップグレードしていただくなどの対策を実施して頂く必要がございます。

必要な対策につきましては、各脆弱性のドキュメントをご参照下さい。