Atlassian

Anbieter von Softwarelösungen für Softwareentwickler

Atlassian [ətˈlæsiən] ist ein Anbieter von Softwarelösungen für Softwareentwickler mit Sitz in London und operativer Hauptzentrale in Sydney.

Atlassian Corporation

Rechtsform Corporation
ISIN US0494681010
Gründung 2002
Sitz Vereinigte Staaten Vereinigte Staaten (Holding)
Leitung Mike Cannon-Brookes
Scott Farquhar[1]
Mitarbeiterzahl 6.433 (2021)[1]
Umsatz 2,09 Mrd. US-Dollar (2021)[1]
Branche Software
Website www.atlassian.com

UnternehmenBearbeiten

Mike Cannon-Brookes und Scott Farquhar, die sich aus Studienzeiten an der Universität von New South Wales kannten, gründeten Atlassian im Jahr 2002 in Sydney. Das Unternehmen hat rund 236.000 Kunden[1] weltweit und Niederlassungen in 15 Ländern.

Die Unternehmensgründung finanzierten sie selbst mit einem Kreditkartenrahmen von 10.000 US-Dollar.[2] Im Juli 2010 erhielt es 60 Millionen US-Dollar Risikokapital von Accel Partners. Im Dezember 2015 erfolgte der Börsengang an der NASDAQ unter dem Kürzel TEAM, 2013 wurde in dem Zusammenhang der Sitz nach Großbritannien verlegt.[3][4]

Anfang 2017 kaufte Atlassian den Hersteller der Kanban-Software Trello.[5]

Ende August 2022 kam es zum wiederholten Mal zu Protesten vor Atlassians Hauptsitz in Sydney: Die Demonstranten werfen dem Unternehmen vor, nach dem Angriff Russlands auf die Ukraine weiterhin Geschäfte mit Russland zu machen. Auf den Plakaten der Menschen waren Schilder wie „Blut an euren Händen?“ oder „Atlassian unterstützt Terrorismus“ zu lesen.[6] Ende September 2022 gab Atlassian dem Druck nach und verkündete das Ende der Geschäftsbeziehungen zu Russland und Weißrussland.[7]

Zum Oktober 2022 wurde der Firmensitz von Atlassian aus dem Vereinigten Königreich in die USA verlagert. Damit verbunden ist die Umwandlung in eine Corporation.[8]

ProdukteBearbeiten

Die Atlassian-Produkte und -Dienste (beispielsweise Bamboo, Crucible, SourceTree, Bitbucket) richten sich an Softwareentwickler. Zudem sind aber auch Tools wie das Wiki Confluence und die Aufgabenmanagementsoftware Jira in ihrer Produktpalette, die auf einen Anwenderkreis über Softwareentwickler hinaus abzielen. Das Unternehmen ist unter anderem auch dafür bekannt, sich sowohl auf agile Softwareentwicklung zu konzentrieren, als auch diese selber zu praktizieren.

Zudem ist die Firma ein Anbieter von Enterprise-2.0-Software; die Produkte sind zum größten Teil keine Open-Source-Software, werden aber unter einer Softwarelizenz angeboten, die es Kunden erlaubt, den Quellcode zu sichten und zu modifizieren. Es ist ihnen aber nicht erlaubt, den modifizierten Quellcode zu veröffentlichen oder zu verkaufen.

SicherheitsproblemeBearbeiten

Um den Schweregrad einer Sicherheitslücke anzugeben, nutzt Atlassian nicht den CVSS-Score, einen Industriestandard, der versucht, die Gefahr als Zahlenwert zwischen 0 (kein Risiko) und 10 (hohes Risiko) anzugeben. Das Unternehmen gibt stattdessen ein eigens entwickeltes "Severity Level" an, welches die die vergleichsweise sensitive CVSS V3 Skala auf die vier Stufen Niedrig, Mittel, Hoch und Kritisch reduziert.[9]

ConfluenceBearbeiten

Questions for Confluence umgeht BenutzerauthentifizierungBearbeiten

In der Erweiterung Questions for Confluence gab Atlassian am 20. Juli 2022 eine Sicherheitslücke bekannt: Bei der Installation erzeugt das Addon automatisch ein Benutzerkonto namens disabledsystemuser mit einem Passwort, das überall identisch ist. Dieses Kennwort lässt sich mit wenig Aufwand aus der Erweiterung auslesen. Das unzureichend geschützte Konto ist laut Hersteller für die Cloud-Migration vorgesehen. Die Umsetzung erfüllt jedoch alle Merkmale einer Hintertür (Backdoor). Mit dem Account haben Unbefugte Zugriff auf alle Seiten, die ansonsten nur angemeldete Nutzer sehen dürfen. Vom Nutzer bewusst gesetzte Einschränkungen werden umgangen. Der Hersteller hat dieses Sicherheitsproblem in der höchsten Kategorie "kritisch" eingestuft. Betroffen sind nicht alle Confluence-Anwender, da es sich bei Questions for Confluence um eine Erweiterung handelt. Der Hersteller hat eine Seite erstellt, die häufig gestellte Fragen umfasst.[10]

Zero-Day Schwachstelle Juni 2022Bearbeiten

Ende Mai 2022 entdeckt ein Sicherheitsunternehmen eine Zero-Day Schwachstelle, über die der Hersteller Anfang Juni informierte. Angreifer können dadurch eigenen Programmcode auf dem Server ausführen. Die Lücke wurde von Atlassian selbst mit der höchsten Stufe "kritisch" versehen. Zunächst wurde den Kunden kein Workaround zur Verfügung gestellt. Atlassian empfahl lediglich, sich mit den eigenen Sicherheitsteams des Kunden über mögliche Maßnahmen zu beraten und gab dazu verschiedene konkrete Vorschläge.[11] Später bot das Unternehmen Aktualisierungen für alle Confluence-Versionen an.[12]

BitbucketBearbeiten

Am 21. August 2022 veröffentlichte Atlassian ein Sicherheitsupdate, das die Lücke CVE-2022-36804 schloss.[13] Die Aktualisierung erschien für die drei LTS-Zweige 7.6, 7.17 und 7.21 sowie Version 8. Sowohl die Server als auch DataCenter-Edition waren betroffen. Durch die Sicherheitslücke war es Angreifern möglich, eigenen Code über eine manipulierte HTTP-Anfrage auf dem Server auszuführen. Der Hersteller veröffentlichte am 24. August 2022 ein Security Advisory mit Informationen über die Schwachstelle. Atlassian empfahl daraufhin allen Betreibern von Bitbucket, entsprechend dem Security Advisory auf eine Version zu aktualisieren, in der dieser Fehler korrigiert wurde.[14] Ein offizieller Workaround wurde nicht angeboten. Das IT-Nachrichtenportal heise online verwies auf eine kurzzeitige Übergangslösung, bis zur Veröffentlichung eines umfänglichen Updates.[15]

Eingestellte ProdukteBearbeiten

Das 2010 eingeführte Tool zur Echtzeit-Kollaboration HipChat[16] wurde im Februar 2019 eingestellt.[17]

Im Oktober 2020 hat Atlassian angekündigt, den Vertrieb der Server-Produkte zum 2. Februar 2021 einzustellen, diese jedoch noch für drei weitere Jahre zu unterstützen. Die Produkte „Data Center“ sollen darüber hinaus weiterhin angeboten werden, jedoch zu deutlich teureren Preisen.[18] Das Unternehmen wird sich dadurch stärker dem Geschäft mit seinen Cloud-Diensten widmen.[19]

EinzelnachweiseBearbeiten

  1. a b c d Annual Report 2021. (PDF) Abgerufen am 12. April 2022.
  2. Hard yakka: Why Atlassian's founders are the pride of Australia's startup world. 26. April 2013, abgerufen am 26. Oktober 2020 (britisches Englisch).
  3. Atlassian’s Farquhar justifies London switch (Memento vom 24. November 2018 im Internet Archive)
  4. ATLASSIAN CORPORATION PLC overview - Find and update company information - GOV.UK. Abgerufen am 23. Juni 2022 (englisch).
  5. golem.de: Atlassian kauft Trello für 425 Millionen US-Dollar, 9. Januar 2017
  6. Tech giant Atlassian slammed for ongoing ties to Russia as it wages war on Ukraine. 30. August 2022, abgerufen am 4. November 2022.
  7. Scott Farquhar, Mike Cannon-Brookes: Atlassian stands with Ukraine. 2. März 2022, abgerufen am 17. Januar 2023 (amerikanisches Englisch).
  8. Atlassian Announces Completion of its Redomiciliation to the United States. 3. Oktober 2022, abgerufen am 17. Januar 2023 (amerikanisches Englisch).
  9. Atlassian: Severity Levels for Security Issues. Abgerufen am 27. November 2022 (englisch).
  10. FAQ for CVE-2022-26138 | Atlassian Support | Atlassian Documentation. Abgerufen am 27. November 2022.
  11. Atlassian Confluence Zero-day Vulnerability (0-Zero) CVE-2022-26134: What You Need To Know. 3. Juni 2022, abgerufen am 5. Oktober 2022 (englisch).
  12. Confluence Security Advisory 2022-06-02 | Confluence Data Center and Server 7.20 | Atlassian Documentation. Abgerufen am 27. November 2022.
  13. Bitbucket Data Center and Server 7.17 release notes | Bitbucket Data Center and Server 8.4 | Atlassian Documentation. Abgerufen am 5. Oktober 2022.
  14. Bitbucket Server and Data Center Advisory 2022-08-24 | Bitbucket Data Center and Server 8.6 | Atlassian Documentation. Abgerufen am 27. November 2022.
  15. heise online: Präparierte HTTP-Anfragen könnten Atlassian Bitbucket Server gefährlich werden. Abgerufen am 27. November 2022.
  16. Atlassian setzt mit HipChat seinen Erfolg im wachsenden Team Communications-Markt fort. Pressemitteilung. In: PresseBox. 28. Januar 2015, abgerufen am 15. Juli 2019.
  17. Abschied von HipChat und Stride: Atlassian setzt zukünftig auf Slack. In: catworkx.com. 27. Juli 2018, abgerufen am 16. Juli 2019.
  18. Hans-Peter Schüler: Abgedrängt. Preisexplosion für Atlassian-Server. In: c’t. Nr. 5, 2021, S. 42 (online [abgerufen am 18. Februar 2021]).
  19. Scott Farquhar: Accelerating our journey to the cloud, together. Atlassian, 16. Oktober 2020, abgerufen am 24. Oktober 2020 (englisch).