2020年10月29日

使用draw.io在Confluence Cloud中实现安全性

上周,Atlassian宣布了Server的生命周期终止。现在,由您决定从服务器到云的过渡的最佳操作方案。在接下来的几个月(或几年)内,许多用户(与您一样)将试图做出完全相同的决定。此过程将继续打开数据安全性对话框。

Atlassian已经越来越关注其产品的云托管版本,这意味着与Atlassian产品集成的应用程序的安全性一直并将继续作为优先事项。

draw.io,我们的工作重点是为您提供相关信息,以便您可以做出明智的决定。

你需要知道的

使用draw.io,我们创建了一个功能强大且易于使用的图表工具。您应该能够创建图表,保存它们并与他人共享,而不必担心数据会发生什么。

在draw.io上,数据安全性对我们而言至关重要。为了帮助您,我们汇总了三个步骤,您可以自己掌握数据安全性:

您的应用程序Bug Bounty准备好了吗?

Atlassian的Bug赏金计划为Atlassian的应用程序供应商提供了一种帮助他们检测和修复其应用程序和服务中的漏洞的方法。您将始终能够在其供应商页面上查看Cloud app供应商是否正在参与该计划。

早在7月,我们就讲述了draw.io如何成为Atlassian Bug Bounty计划的一部分。您可以通过访问Atlassian市场上的供应商页面来验证我们的计划状态。

对跟踪服务器和第三方服务器说不

使用draw.io,整个图的创建和编辑过程仅在浏览器中进行。这意味着数据呈现中不涉及任何第三方。完成后,该图将作为附件存储在Confluence Cloud中。

数据处理检查

如果您不使用draw.io,则可以检查如何以及在何处存储或共享数据。为此,您需要打开浏览器的开发人员工具。从那里,您可以确切地看到应用程序如何处理数据。但是,请确保在测试实例上进行检查,以免给您的数据带来风险。Confluence Cloud中提供的其他应用程序将加载多个外部JavaScript源。JavaScript可以使用与当前登录用户相同的授权来调用Confluence Cloud API端点。

我们进行了一项测试,以查看在Confluence Cloud中使用另一个图表应用程序时可以找到哪些脚本:

  • 社交媒体跟踪来自Twitter,Facebook和Linkedin的像素。
  • 访客跟踪工具,例如Google,Doubleclick,Bizible,Wootric和Kochava。
  • Hotjar中的键盘击键和鼠标移动/单击录制软件。有问题的软件可以将该数据发送给第三方,这意味着从理论上讲,可以从该数据重新创建图表。

脚本从外部传递的信息包括图表名称和其位置的URL。

尽管脚本供应商不太可能故意伤害,但小问题可能会扩大到更大的漏洞,称为放大攻击。如果用户可以读取和删除内容,则脚本也可以。公平地说,希望任何一个脚本中出现安全漏洞的可能性都很小。但是,每增加一个脚本,您注入到应用程序中的风险就会增加。

但是,即使风险相对较低,当您只可以使用draw.io绘制图表时,为什么还要将数据置于危险之中呢?

需要更多信息吗?

在数据安全方面,我们始终努力为您提供简洁透明的信息。但是,如果您有特定问题或需要进一步说明,请随时与我们联系。我们很乐意帮助您进行draw.io体验,成为您所需要的。因此,直到下一次,使用draw.io进行安全,愉快的图表绘制!