Atlassian JIRA

Продукт
Разработчики: Atlassian
Дата последнего релиза: 2020/10/16
Технологии: EAP - Enterprise Agile Planning,  Системы управления проектами

Содержание

Основная статья: Управление ИТ-проектами

Atlassian JIRA – приложение для локализации ошибок, отслеживания проблем и управления проектом, разработанное с целью облегчения этих процессов.

Особенности JIRA

  • Управление ошибками, возможностями, задачами, усовершенствованиями или любой проблемой.
  • Простой и мощный пользовательский интерфейс, предназначенный как для деловых, так и для технических пользователей.
  • Отслеживание изменений, компонентов и версий.
  • Полная система поиска текста и мощного фильтрования.
  • Настраиваемые панели управления и статистика в реальном времени.
  • Управление корпоративными правами доступа и безопасностью.
  • Легко расширяется и интегрируется с другими системами (включая электронную почту, RSS, Excel, XML и управление исходниками).
  • Запускается почти на любых аппаратных средствах, операционных системах и платформах баз данных.

2023

ФСТЭК предупредил об опасной уязвимости в Jira

Федеральная служба по техническому и экспортному контролю в декабре 2023 года предупредила, что в инструменте для организации разработки Jira компании Atlassian обнаружена опасная уязвимость. Её код в БДУ ФСТЭК BDU:2023-08497[1], а опасность оценивается как 9,8 из 10 по методологии CVSS. «Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём подмены сервера приложений (реализации спуфинг-атаки)», – предупреждает ФСТЭК.

Уязвимости подвержены агенты таких инструментов управления Atlassian как Jira Service Management DC&Server (версии с 1.0 по 3.1.11) и Cloud по версию 6.1.14. Опасность связана с тем, что агенты, используемые совместно с этими продуктами, недостаточно надёжно проверяют подлинности управляющего сервера. Поэтому у нападающего появляется возможность выдать свой сервер управления за легитимный и заставить агента выполнить вредоносные команды постороннего.

Хотя компания Atlassian больше не работает с российскими пользователям, тем не менее достаточно много ее продуктов по-прежнему установлены у российских компаний. В частности, поисковая система Netlas показывает, что она обнаружила на территории России порядка 1,3 тыс. серверов Jira, что по распространению этого продукта в мире находится на третьем месте. Россия по популярности Jira уступает только США (3,1 тыс. серверов) и Германии (2,9 тыс. серверов).

Карта распределения Atlassian Jira по всему миру (данные Netlas.io)

Однако для российских пользователей существует проблема установки обновлений – указанные уязвимости исправлены в версиях 3.2 для DC&Server и 6.2 для Cloud. Сами разработчики для устранения уязвимостей рекомендуют[2] как можно быстрее обновить уязвимые продукты до безопасных версий. Причем вначале нужно удалить уязвимые агенты, затем установить обновление и только потом установить новые версии агентов. Рекомендации же ФСТЭК следующие:

«
В связи со сложившейся обстановкой и введенными санкциями против РФ рекомендуется устанавливать обновления ПО только после оценки всех сопутствующих рисков. Компенсирующие меры: удаление агентов обнаружения активов Assets Discovery; ограничение доступа к 51337-порту; использование средств межсетевого экранирования для ограничения возможности удалённого доступа.
»

Утечка данных Beeline

В начале марта 2023 года появилась информация о том, что злоумышленники выложили базу данных, содержащую 1,5 Гб данных Beeline. Информация была украдены из учетной записи компании в сервисе Jira. Подробнее здесь.

2021

Предупреждение о возможных рисках ошибочных конфигураций

Компания Varonis 3 декабря 2021 года сообщила о том, что что ошибки в организации доступа к Jira могут привести к компрометации данных сотрудников и проектов сотен компаний, в том числе, входящих в список Fortune 1000. Вероятность такого риска была выявлена экспертами Varonis, проанализировавших 812 поддоменов корпоративных сайтов. Поддомены открывают доступ к средам Jira, через которые доступны 3774 информационные панели, 244 проекта и 75629 записи, содержащие адреса электронной почты, URL- и IP-адреса.

В ходе исследования было обнаружено, что API Jira REST предоставляет доступ к гораздо большему объему данных, нежели веб-интерфейс. Эта особенность API не является уязвимостью и проявляется только в случае неверного конфигурирования прав доступа. Тем не менее, администраторы Jira могут быть введены в заблуждение и неумышленно открыть доступ к конфиденциальным данным.

Так, во время мониторинга систем одной из логистических компаний была обнаружена в открытом доступе панель управления Jira, которая содержала общедоступные URL-адреса конфиденциальных систем компании. В другом случае (речь идет об одной из финансовых организаций) эксперты Varonis обнаружили, что в открытом доступе из-за ошибки с правами доступа оказались адреса электронной почты сотрудников банка. И в том, и в другом случае информация могла использоваться злоумышленниками для проведения фишинговых атак или попыток взлома корпоративных систем.

Jira – сервис компании Atlassian, который используется для организации команд разработчиков ПО. Один из его элементов – информационные панели, используемые менеджментом рабочих групп. Права доступа к информационным панелям могут настраиваться администраторами систем. Из-за неточных формулировок, использовавшихся ранее в интерфейсе управления доступом, администраторы Jira могли по ошибке предоставлять доступ к информационным панелям Jira всем желающим. Несколько лет назад Atlassian исправила эту уязвимость, однако глобальное отключение открытого доступа не приводит к автоматическому удалению общедоступных разрешений с объектов Jira – необходимо перенастроить параметры общего доступа на каждой панели управления. Исследовательская группа Varonis обнаружила, что можно извлечь больше открытых данных, используя REST API Jira. При помощи REST API злоумышленник может написать простой скрипт для сканирования учетной записи Jira компании и быстрого извлечения конфиденциальных данных.

Не устраненные ошибки могут использоваться киберпреступниками для получения как общей информации (название проекта, состав его участников), так и детальной информации, – URL-адресов информационных систем компании, адресов электронной почты ее сотрудников, включая адреса администраторов систем. Все эти данные могут использоваться для проведения атак на инфраструктуру: рассылки фишинговых писем, взлома систем при помощи перебора паролей или известных уязвимостей.

«
Стоит напомнить, что ошибки, связанные с организацией доступа к информационным системам компаний признаны наиболее существенным риском сообществом обеспечения безопасности веб-приложений OWASP Foundation. Причина столь серьезной оценки этой категории рисков – использование компаниями огромного числа SaaS-приложений, многие из которых интегрируются друг с другом и могут быть скомпрометированы из-за ошибочной конфигурации сторонних сервисов, – сказал Даниэль Гутман, глава Varonis в России.
»

Эксперты Varonis считают, что из-за ошибки с правами доступа к панелям Jira могли быть скомпрометированы 3 тысячи адресов электронной почты, 5500 IPv4- и более 60000 URL-адресов корпоративных информационных систем.

Varonis рекомендует всем организациям, использующим Jira как в облачной, так и в on-premise инфраструктурах, провести аудит политик доступа к своим системам. Для этого можно использовать специальный сервис компании Atlassian, который описывает все необходимые для устранения ошибок меры. Кроме того, администраторы могут провести проверку прав доступа в настройках Jira (Settings-System-Global Permissions).

Включение в квадрант Gartner

Последние годы все большее число компаний используют Agile для управления разработкой. Как показал отчет State of Agile 2021, подготовленный компанией Digital.ai, в 2021 году был зафиксирован взрывной рост внедрения этой методологии «с 37% в 2020 до 86% в 2021, а в ИТ - с 26% до 60% соответственно. Как отметили эксперты Gartner: «Пандемия потребовала от компаний быстрого внедрения новых процессов, практик и технологий для поддержки изменений в способе доставки продуктов и услуг». В число лидеров вошла компания Atlassian с решением Jira. Подробнее здесь.

2020: Устранение уязвимости, позволяющей получить конфиденциальную информацию о пользователях

Эксперт Positive Technologies Михаил Ключников выявил уязвимость в компонентах Jira — системы для отслеживания ошибок, организации взаимодействия с пользователями и управления проектами. Об этом PT сообщила 16 октября 2020 года.

Уязвимость позволяла получить конфиденциальную информацию о пользователях системы. Продукты разработчика Jira — компании Atlassian — на октябрь 2020 года применяют 170 тыс. клиентов более чем в 190 странах.

«
Подобные уязвимости существенно экономят время атакующему: они дают возможность определить наличие учетной записи с тем или иным логином в системе, — рассказал Михаил Ключников. — Путем перебора различных логинов выясняется, какие пользователи присутствуют в системе. Если логина нет, система об этом сообщит, если есть — выдаст еще и персональные данные (если они в систему занесены). После перебора существующих логинов, атакующий мог перейти к подбору паролей к каждому существующему пользователю. В отсутствие этой уязвимости злоумышленнику приходится вслепую осуществлять брутфорс паролей к логинам, которых может и не быть в системе. Уязвимость уменьшает трудозатраты хакера и снижает вероятность обнаружения атаки, что в конечном счете делает мишень более привлекательной для хакера. И поэтому мы настоятельно рекомендуем обновиться.
»

Недостаток безопасности получил идентификатор CVE-2020-14181 и оценку 5,3, что соответствует среднему уровню опасности. Причина возникновения ошибки связана с возможностью обращаться к определенному сценарию любому неавторизованному пользователю. Уязвимость затронула Jira Server и Data Center. Компания опубликовала обновления, в которых данная ошибка исправлена. Уязвимость устранена в 7.13.6, 8.5.7 и 8.12.0 версиях продуктов.

2017: Microsoft Project + Atlassian Jira

Основная статья: Системный софт: Стек решений для управления проектами

18 сентября 2017 года компания «Системный софт» представила стек решений для управления проектами, в котором представлены системы управления проектами Microsoft Project и Atlassian Jira. Предложение призвано помочь в формировании единой среды, одинаково удобной как для руководства компаний, менеджеров проектов и экономистов, так и для команды разработчиков.

2012

JIRA 5.2

  • Особенности нового навигатора JIRA 5.2 делают поиск более мощным и быстрым (без перезагрузки страницы);
  • Фоновая индексация;
  • Новые характеристики и настройки инструментов;
  • Внедрение webhooks уведомлений.

JIRA 5.1 EAP 1

JIRA 5.1 EAP 1 (или milestone 2, или 'm2') – это публичный релиз новой готовящейся версии продукта JIRA 5.1. Релиз позволяет пользователям JIRA заглянуть наперед в функционал готовящегося к выпуску глобального обновления продукта. Данный релиз также дает возможность разработчикам дополнительных модулей под JIRA проверить свои модули на совместимость с новой версией продукта.

Новые возможности JIRA 5.1 по данным на 2012 год:

  • Быстрое редактирование заявок;
  • Отмена перерисовки страниц при операциях над заявками;
  • Улучшенная общая производительность продукта;
  • Более удобное редактирование рабочего процесса (workflow);
  • Быстрое добавление пользователей в JIRA посредством механизма рассылки специальных приглашений;
  • Упрощенное создание связей между заявками;
  • Автоподписка и слежение создателя заявок за своими заявками;
  • Возможность тестирования и отладки базы данных JIRA.



ПРОЕКТЫ (18) ПРОЕКТЫ НА БАЗЕ (1) ИНТЕГРАТОРЫ (6)
РЕШЕНИЕ НА БАЗЕ (3) СМ. ТАКЖЕ (136) ОТРАСЛИ (7)

ЗаказчикИнтеграторГодПроект
- Сбербанк
IFellow (АйФэлл)2022.12Описание проекта
- Расчетные решения
IFellow (АйФэлл)2021.06Описание проекта
- Акселболт Девелопмент (Axlebolt)
Системный софт (Сиссофт, SysSoft)2021.03Описание проекта
- Комус Торговый дом
IFellow (АйФэлл)2021.02Описание проекта
- ГК ФСК
IFellow (АйФэлл)2021.02Описание проекта
- Расчетные решения
ITSDelta (Корпорация Дельта-групп)2020.07Описание проекта
- Docrobot (Э-Ком, Электронные коммуникации)
Системный софт (Сиссофт, SysSoft)2019.08Описание проекта
- Банк ВТБ
Без привлечения консультанта или нет данных2019.07Описание проекта
- Расчетные решения
Системный софт (Сиссофт, SysSoft)2019.06Описание проекта
- Mango Office (Манго Телеком)
Системный софт (Сиссофт, SysSoft)2019.04Описание проекта
- Softengi (Софтенжи)
Без привлечения консультанта или нет данных2014.09Описание проекта
- ReactOS Foundation (Реактос-Фонд)
Без привлечения консультанта или нет данных2014.09Описание проекта
- Госинформ, ГУ
Pingwin Software (Пингвин софтвер)2012.11Описание проекта
- Правительство Республики Мордовия
Pingwin Software (Пингвин софтвер)2012.05Описание проекта
- Министерство просвещения РФ
Pingwin Software (Пингвин софтвер)2011.05Описание проекта
- Virtu Systems (Вирту Системс)
Teamlead (Тимлид)2011.04Описание проекта
- МСК, Страховая группа
Teamlead (Тимлид)2011.03Описание проекта
- Жилищное хозяйство ГУП ВЦКП
Без привлечения консультанта или нет данных2010.05Описание проекта



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

Данные не найдены

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Atlassian (1, 4)
  Odyssey Consulting Group (ранее Columbus East) (1, 1)
  Другие (0, 0)

  Carbon Soft (Карбон Софт) EvaTeam (1, 2)
  Atlassian (1, 1)
  Другие (0, 0)

  Carbon Soft (Карбон Софт) EvaTeam (1, 13)
  Другие (0, 0)

Данные не найдены

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Atlassian JIRA - 4 (4, 0)
  Другие 0

  Carbon Soft EvaProject - 2 (2, 0)
  Другие 0

  Carbon Soft EvaProject - 13 (13, 0)
  Другие 0
Данные не найдены