Atlassian

Atlassian Corporation

Logo
Rechtsform Corporation
ISIN US0494681010
Gründung 2002
Sitz San Francisco, Vereinigte Staaten Vereinigte Staaten
Leitung Mike Cannon-Brookes
Scott Farquhar[1]
Mitarbeiterzahl 10.700 (2023)[1]
Umsatz 3,5 Mrd. US-Dollar (2023)[1]
Branche Software
Website atlassian.com

Atlassian [ətˈlæsiən] ist ein Anbieter von Softwarelösungen für Softwareentwickler mit Sitz in San Francisco[2] und operativer Hauptzentrale in Sydney.

Mike Cannon-Brookes und Scott Farquhar, die sich aus Studienzeiten an der Universität von New South Wales kannten, gründeten Atlassian im Jahr 2002 in Sydney. Das Unternehmen hat rund 250.000 Kunden[1] weltweit und Niederlassungen in 15 Ländern.

Die Unternehmensgründung finanzierten sie selbst mit einem Kreditkartenrahmen von 10.000 US-Dollar.[3] Im Juli 2010 erhielt es 60 Millionen US-Dollar Risikokapital von Accel Partners. Im Dezember 2015 erfolgte der Börsengang an der NASDAQ unter dem Kürzel TEAM, 2013 wurde in dem Zusammenhang der Sitz nach Großbritannien verlegt.[4][5]

Anfang 2017 kaufte Atlassian den Hersteller der Kanban-Software Trello.[6]

Ende August 2022 kam es zum wiederholten Mal zu Protesten vor Atlassians Hauptsitz in Sydney: Die Demonstranten werfen dem Unternehmen vor, nach dem Angriff Russlands auf die Ukraine weiterhin Geschäfte mit Russland zu machen. Auf den Plakaten der Menschen waren Schilder wie „Blut an euren Händen?“ oder „Atlassian unterstützt Terrorismus“ zu lesen.[7] Ende September 2022 gab Atlassian dem Druck nach und verkündete das Ende der Geschäftsbeziehungen zu Russland und Belarus.[8]

Zum Oktober 2022 wurde der Firmensitz von Atlassian aus dem Vereinigten Königreich in die USA verlagert. Damit verbunden ist die Umwandlung in eine Corporation.[9]

Die Atlassian-Produkte und -Dienste (beispielsweise Bamboo, Crucible, SourceTree, Bitbucket) richten sich an Softwareentwickler. Zudem sind aber auch Tools wie das Wiki Confluence und die Aufgabenmanagementsoftware Jira in ihrer Produktpalette, die auf einen Anwenderkreis über Softwareentwickler hinaus abzielen. Das Unternehmen ist unter anderem auch dafür bekannt, sich sowohl auf agile Softwareentwicklung zu konzentrieren, als auch diese selber zu praktizieren.

Zudem ist die Firma ein Anbieter von Enterprise-2.0-Software; die Produkte sind zum größten Teil keine Open-Source-Software, werden aber unter einer Softwarelizenz angeboten, die es Kunden erlaubt, den Quellcode zu sichten und zu modifizieren. Es ist ihnen aber nicht erlaubt, den modifizierten Quellcode zu veröffentlichen oder zu verkaufen.

Sicherheitsprobleme

[Bearbeiten | Quelltext bearbeiten]

Um den Schweregrad einer Sicherheitslücke anzugeben, nutzt Atlassian nicht den CVSS-Score, einen Industriestandard, der versucht, die Gefahr als Zahlenwert zwischen 0 (kein Risiko) und 10 (hohes Risiko) anzugeben. Das Unternehmen gibt stattdessen ein eigens entwickeltes „Severity Level“ an, welches die vergleichsweise sensitive CVSS-V3-Skala auf die vier Stufen Niedrig, Mittel, Hoch und Kritisch reduziert.[10]

Erweiterung umgeht Benutzerauthentifizierung

[Bearbeiten | Quelltext bearbeiten]

In der Erweiterung Questions for Confluence gab Atlassian am 20. Juli 2022 eine Sicherheitslücke bekannt: Bei der Installation erzeugt das Addon automatisch ein Benutzerkonto namens disabledsystemuser mit einem Passwort, das überall identisch ist. Dieses Kennwort lässt sich mit wenig Aufwand aus der Erweiterung auslesen. Das unzureichend geschützte Konto ist laut Hersteller für die Cloud-Migration vorgesehen. Die Umsetzung erfüllt jedoch alle Merkmale einer Hintertür (Backdoor). Mit dem Account haben Unbefugte Zugriff auf alle Seiten, die ansonsten nur angemeldete Nutzer sehen dürfen. Vom Nutzer bewusst gesetzte Einschränkungen werden umgangen. Der Hersteller hat dieses Sicherheitsproblem in der höchsten Kategorie „kritisch“ eingestuft. Betroffen sind nicht alle Confluence-Anwender, da es sich bei Questions for Confluence um eine Erweiterung handelt. Der Hersteller hat eine Seite erstellt, die häufig gestellte Fragen umfasst.[11]

Zero-Day-Schwachstelle Juni 2022

[Bearbeiten | Quelltext bearbeiten]

Ende Mai 2022 entdeckte ein Sicherheitsunternehmen eine Zero-Day-Schwachstelle, über die der Hersteller Anfang Juni informierte. Angreifer können dadurch eigenen Programmcode auf dem Server ausführen. Die Lücke wurde von Atlassian selbst mit der höchsten Stufe „kritisch“ eingestuft. Zunächst wurde den Kunden kein Workaround zur Verfügung gestellt. Atlassian empfahl lediglich, sich mit den eigenen Sicherheitsteams des Kunden über mögliche Maßnahmen zu beraten und gab dazu verschiedene konkrete Vorschläge.[12] Später wurden Aktualisierungen für alle Confluence-Versionen veröffentlicht.[13]

Am 21. August 2022 veröffentlichte Atlassian ein Sicherheitsupdate, das die Lücke CVE-2022-36804 schloss.[14] Die Aktualisierung erschien für die drei LTS-Zweige 7.6, 7.17 und 7.21 sowie Version 8. Sowohl die Server- als auch Data-Center-Produkte waren betroffen. Durch die Sicherheitslücke war es Angreifern möglich, eigenen Code über eine manipulierte HTTP-Anfrage auf dem Server auszuführen. Der Hersteller veröffentlichte am 24. August 2022 ein Security Advisory mit Informationen über die Schwachstelle. Atlassian empfahl daraufhin allen Betreibern von Bitbucket, entsprechend dem Security Advisory auf eine Version zu aktualisieren, in der dieser Fehler korrigiert wurde.[15] Ein offizieller Workaround wurde nicht angeboten. Das IT-Nachrichtenportal heise online verwies auf eine kurzzeitige Übergangslösung, bis zur Veröffentlichung eines umfänglichen Updates.[16]

Eingestellte Produkte

[Bearbeiten | Quelltext bearbeiten]

Das 2010 eingeführte Tool zur Echtzeit-Kollaboration HipChat[17] wurde im Februar 2019 eingestellt.[18]

Im Oktober 2020 hat Atlassian angekündigt, den Vertrieb der Server-Produkte zum 2. Februar 2021 einzustellen, diese jedoch noch für drei weitere Jahre zu unterstützen. Die Produkte „Data Center“ sollen darüber hinaus weiterhin angeboten werden, jedoch zu deutlich teureren Preisen.[19] Das Unternehmen wird sich dadurch stärker dem Geschäft mit seinen Cloud-Diensten widmen.[20]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. a b c d Annual Report 2022. (PDF) Abgerufen am 16. September 2024.
  2. https://d18rn0p25nwr6d.cloudfront.net/CIK-0001650372/f69d572f-5073-4a0b-a1f9-ff89b029ee77.pdf
  3. Hard yakka: Why Atlassian's founders are the pride of Australia's startup world. 26. April 2013, archiviert vom Original am 3. Oktober 2018; abgerufen am 26. Oktober 2020 (britisches Englisch).
  4. Atlassian’s Farquhar justifies London switch (Memento vom 24. November 2018 im Internet Archive)
  5. ATLASSIAN CORPORATION PLC overview - Find and update company information - GOV.UK. Abgerufen am 23. Juni 2022 (englisch).
  6. golem.de: Atlassian kauft Trello für 425 Millionen US-Dollar, 9. Januar 2017
  7. Tech giant Atlassian slammed for ongoing ties to Russia as it wages war on Ukraine. 30. August 2022, abgerufen am 4. November 2022.
  8. Scott Farquhar, Mike Cannon-Brookes: Atlassian stands with Ukraine. 2. März 2022, abgerufen am 17. Januar 2023 (amerikanisches Englisch).
  9. Atlassian Announces Completion of its Redomiciliation to the United States. 3. Oktober 2022, abgerufen am 17. Januar 2023 (amerikanisches Englisch).
  10. Atlassian: Severity Levels for Security Issues. Abgerufen am 27. November 2022 (englisch).
  11. FAQ for CVE-2022-26138 | Atlassian Support | Atlassian Documentation. Abgerufen am 27. November 2022.
  12. Atlassian Confluence Zero-day Vulnerability (0-Zero) CVE-2022-26134: What You Need To Know. 3. Juni 2022, abgerufen am 5. Oktober 2022 (englisch).
  13. Confluence Security Advisory 2022-06-02 | Confluence Data Center and Server 7.20 | Atlassian Documentation. Abgerufen am 27. November 2022.
  14. Bitbucket Data Center and Server 7.17 release notes | Bitbucket Data Center and Server 8.4 | Atlassian Documentation. Abgerufen am 5. Oktober 2022.
  15. Bitbucket Server and Data Center Advisory 2022-08-24 | Bitbucket Data Center and Server 8.6 | Atlassian Documentation. Abgerufen am 27. November 2022.
  16. heise online: Präparierte HTTP-Anfragen könnten Atlassian Bitbucket Server gefährlich werden. Abgerufen am 27. November 2022.
  17. Atlassian setzt mit HipChat seinen Erfolg im wachsenden Team Communications-Markt fort. Pressemitteilung. In: PresseBox. 28. Januar 2015, abgerufen am 15. Juli 2019.
  18. Abschied von HipChat und Stride: Atlassian setzt zukünftig auf Slack. In: catworkx.com. 27. Juli 2018, archiviert vom Original am 15. Juli 2019; abgerufen am 16. Juli 2019.
  19. Hans-Peter Schüler: Abgedrängt. Preisexplosion für Atlassian-Server. In: c’t. Nr. 5, 2021, S. 42 (online [abgerufen am 18. Februar 2021]).
  20. Scott Farquhar: Accelerating our journey to the cloud, together. Atlassian, 16. Oktober 2020, abgerufen am 24. Oktober 2020 (englisch).