使用 draw.io 在 Confluence Cloud 中的安全性

前段时间,Atlassian 宣布服务器生命周期结束。现在由您决定关于从服务器到云的过渡的最佳行动方案。在接下来的几个月(或几年)中,许多用户,就像您一样,将尝试做出完全相同的决定。这个过程将继续打开更多数据安全和保障的对话。

Atlassian 已经越来越关注其产品的云托管版本,这意味着与 Atlassian 产品集成的应用程序的安全性已经并将继续成为优先事项。

我们在 draw.io 的首要任务是为您提供相关信息,以便您做出明智的决定。

你需要知道的

通过 draw.io,我们创建了一个功能强大且易于使用的图表工具。您应该能够创建图表、保存它们并与他人共享它们,而无需担心您的数据发生了什么。

在 draw.io,数据安全和保障对我们来说至关重要。为了帮助您,我们汇总了您可以采取的三个步骤,让您自己掌握数据安全性和安全性:

您的应用程序漏洞赏金计划准备好了吗?

Atlassian 的漏洞赏金计划为 Atlassian 的应用程序供应商提供了一种帮助他们检测和修复应用程序和服务中漏洞的方法。您将始终能够在其供应商页面上查看云应用供应商是否参与了该计划。

早在 7 月,我们就写过draw.io如何成为 Atlassian Bug Bounty 计划的一部分。您可以通过访问我们在 Atlassian 市场上的供应商页面来验证我们的计划状态。

对跟踪和第三方服务器说不

使用 draw.io,整个图表创建和编辑过程仅在您的浏览器中进行,无需向外部发送数据。完成后,图表将作为附件存储在 Confluence Cloud 中。保存和加载直接使用 Atlassian,数据甚至不通过我们的服务器。

数据处理检查

如果您不使用 draw.io,您可以检查数据的存储或共享方式和位置。为此,您需要打开浏览器的开发人员工具。从那里,您可以准确了解应用程序如何处理您的数据。但是,请务必在测试实例上进行检查,以免您的数据冒险。Confluence Cloud 中提供的其他应用程序将加载多个外部 JavaScript 源。JavaScript 可以使用与当前登录用户相同的授权调用 Confluence Cloud API 端点。

我们进行了一个测试,看看在 Confluence Cloud 中使用另一个图表应用程序时我们可以找到哪些脚本:
  • 来自 Twitter、Facebook 和 Linkedin 的社交媒体跟踪像素。
  • 访客跟踪工具,如 Google、Doubleclick、Bizible、Wootric 和 Kochava。
  • Hotjar 的键盘敲击和鼠标移动/点击记录软件。有问题的软件可以将该数据发送给第三方,这意味着,理论上,可以根据该数据重新创建图表。
脚本外部传递的信息包括图表名称和其位置的 URL。

虽然脚本供应商不太可能故意想要伤害,但小问题可能会发展成更大的漏洞,称为放大攻击。如果用户可以读取和删除内容,那么脚本也可以。公平地说,希望任何一个脚本中出现安全漏洞的可能性都很低。但是,对于每个额外的脚本,您注入到应用程序中,风险就会增加。

但即使风险相对较低,当您可以使用 draw.io 绘制图表时,为什么还要将您的数据置于风险之中?