Atlassian: Anbieter von Softwarelösungen für Softwareentwickler

Mike Cannon-Brookes und Scott Farquhar, die sich aus Studienzeiten an der Universität von New South Wales kannten, gründeten Atlassian im Jahr 2002 in Sydney. Das Unternehmen hat rund 242.000 Kunden weltweit und Niederlassungen in 15 Ländern.

Die Unternehmensgründung finanzierten sie selbst mit einem Kreditkartenrahmen von 10.000 US-Dollar. Im Juli 2010 erhielt es 60 Millionen US-Dollar Risikokapital von Accel Partners. Im Dezember 2015 erfolgte der Börsengang an der NASDAQ unter dem Kürzel TEAM, 2013 wurde in dem Zusammenhang der Sitz nach Großbritannien verlegt.

Anfang 2017 kaufte Atlassian den Hersteller der Kanban-Software Trello.

Ende August 2022 kam es zum wiederholten Mal zu Protesten vor Atlassians Hauptsitz in Sydney: Die Demonstranten werfen dem Unternehmen vor, nach dem Angriff Russlands auf die Ukraine weiterhin Geschäfte mit Russland zu machen. Auf den Plakaten der Menschen waren Schilder wie „Blut an euren Händen?“ oder „Atlassian unterstützt Terrorismus“ zu lesen. Ende September 2022 gab Atlassian dem Druck nach und verkündete das Ende der Geschäftsbeziehungen zu Russland und Belarus.

Zum Oktober 2022 wurde der Firmensitz von Atlassian aus dem Vereinigten Königreich in die USA verlagert. Damit verbunden ist die Umwandlung in eine Corporation.

Die Atlassian-Produkte und -Dienste (beispielsweise Bamboo, Crucible, SourceTree, Bitbucket) richten sich an Softwareentwickler. Zudem sind aber auch Tools wie das Wiki Confluence und die Aufgabenmanagementsoftware Jira in ihrer Produktpalette, die auf einen Anwenderkreis über Softwareentwickler hinaus abzielen. Das Unternehmen ist unter anderem auch dafür bekannt, sich sowohl auf agile Softwareentwicklung zu konzentrieren, als auch diese selber zu praktizieren.

Zudem ist die Firma ein Anbieter von Enterprise-2.0-Software; die Produkte sind zum größten Teil keine Open-Source-Software, werden aber unter einer Softwarelizenz angeboten, die es Kunden erlaubt, den Quellcode zu sichten und zu modifizieren. Es ist ihnen aber nicht erlaubt, den modifizierten Quellcode zu veröffentlichen oder zu verkaufen.

Um den Schweregrad einer Sicherheitslücke anzugeben, nutzt Atlassian nicht den CVSS-Score, einen Industriestandard, der versucht, die Gefahr als Zahlenwert zwischen 0 (kein Risiko) und 10 (hohes Risiko) anzugeben. Das Unternehmen gibt stattdessen ein eigens entwickeltes „Severity Level“ an, welches die die vergleichsweise sensitive CVSS-V3-Skala auf die vier Stufen Niedrig, Mittel, Hoch und Kritisch reduziert.

Confluence

Erweiterung umgeht Benutzerauthentifizierung

In der Erweiterung Questions for Confluence gab Atlassian am 20. Juli 2022 eine Sicherheitslücke bekannt: Bei der Installation erzeugt das Addon automatisch ein Benutzerkonto namens disabledsystemuser mit einem Passwort, das überall identisch ist. Dieses Kennwort lässt sich mit wenig Aufwand aus der Erweiterung auslesen. Das unzureichend geschützte Konto ist laut Hersteller für die Cloud-Migration vorgesehen. Die Umsetzung erfüllt jedoch alle Merkmale einer Hintertür (Backdoor). Mit dem Account haben Unbefugte Zugriff auf alle Seiten, die ansonsten nur angemeldete Nutzer sehen dürfen. Vom Nutzer bewusst gesetzte Einschränkungen werden umgangen. Der Hersteller hat dieses Sicherheitsproblem in der höchsten Kategorie „kritisch“ eingestuft. Betroffen sind nicht alle Confluence-Anwender, da es sich bei Questions for Confluence um eine Erweiterung handelt. Der Hersteller hat eine Seite erstellt, die häufig gestellte Fragen umfasst.

Zero-Day-Schwachstelle Juni 2022

Ende Mai 2022 entdeckte ein Sicherheitsunternehmen eine Zero-Day-Schwachstelle, über die der Hersteller Anfang Juni informierte. Angreifer können dadurch eigenen Programmcode auf dem Server ausführen. Die Lücke wurde von Atlassian selbst mit der höchsten Stufe „kritisch“ eingestuft. Zunächst wurde den Kunden kein Workaround zur Verfügung gestellt. Atlassian empfahl lediglich, sich mit den eigenen Sicherheitsteams des Kunden über mögliche Maßnahmen zu beraten und gab dazu verschiedene konkrete Vorschläge. Später wurden Aktualisierungen für alle Confluence-Versionen veröffentlicht.

Bitbucket

Am 21. August 2022 veröffentlichte Atlassian ein Sicherheitsupdate, das die Lücke CVE-2022-36804 schloss. Die Aktualisierung erschien für die drei LTS-Zweige 7.6, 7.17 und 7.21 sowie Version 8. Sowohl die Server- als auch Data-Center-Produkte waren betroffen. Durch die Sicherheitslücke war es Angreifern möglich, eigenen Code über eine manipulierte HTTP-Anfrage auf dem Server auszuführen. Der Hersteller veröffentlichte am 24. August 2022 ein Security Advisory mit Informationen über die Schwachstelle. Atlassian empfahl daraufhin allen Betreibern von Bitbucket, entsprechend dem Security Advisory auf eine Version zu aktualisieren, in der dieser Fehler korrigiert wurde. Ein offizieller Workaround wurde nicht angeboten. Das IT-Nachrichtenportal heise online verwies auf eine kurzzeitige Übergangslösung, bis zur Veröffentlichung eines umfänglichen Updates.

Das 2010 eingeführte Tool zur Echtzeit-Kollaboration HipChat wurde im Februar 2019 eingestellt.

Im Oktober 2020 hat Atlassian angekündigt, den Vertrieb der Server-Produkte zum 2. Februar 2021 einzustellen, diese jedoch noch für drei weitere Jahre zu unterstützen. Die Produkte „Data Center“ sollen darüber hinaus weiterhin angeboten werden, jedoch zu deutlich teureren Preisen. Das Unternehmen wird sich dadurch stärker dem Geschäft mit seinen Cloud-Diensten widmen.