CloudBees 在 Jenkins/CBCI 生态系统上建设了一个专门的平安团队。对于该团队的公开信息能够在从此链接中找到:https://www.jenkins.io/security/。因为所波及的零碎简单且插件数量泛滥(见下文),许多扫描提供的信息短少有价值的上下文,除非使用者有相应的工具教训。所以,专门的平安团队很有必要。
平安团队次要口头和责任
以下是该团队所采取的要害口头的纲要,并在适当的中央提供了链接。如需进一步信息,请发送邮件至 support@cloudbees.com,或分割 CloudBees 受权合作伙伴——龙智(customer@shdsd.com)。
- 审计新插件代码的托管申请(想要进入生态系统的插件);
https://github.com/jenkins-infra/repository-permissions-updater/labels/hosting-request
- 审计 CAP 中是否蕴含插件(心愿进入 CloudBees 保障打算的插件);
- 依据插件的风行水平(基于装置数量判断),对随机插件进行被动审核;
-
当 CloudBees 发现危险模式时,进行大规模剖析 / 考察;
- 因为须要涵盖 2000 多个插件,这对 CI 生态系统来说是非凡的。
-
Jenkins 专用工具开发(jenkins-codeql 和 usage-in-plugins);
-
Jenkins 插件生态系统的 CodeQL 自定义规定;
- 这些规定检测到平安专家多年来发现的常见缺点,利用 CloudBees 团队的专业知识为上下文提供一些有意义的货色。
- 工具开发,以避免缺点被引入。
- https://github.com/jenkins-infra/jenkins-codeql
-
多种模式(Classes, Methods 和 Fields 等)的自定义代码搜索引擎。
- https://github.com/jenkins-infra/usage-in-plugins
-
-
内部平安钻研人员和插件维护者之间的合作 / 协调;
- 确保报告清晰,蕴含足够的细节;
- 复现不同的破绽;
- 为保护人员提供倡议;
- 审查纠正,协调公布版本。
CloudBees 平安正告页面网址为:https://www.cloudbees.com/security-advisories
Jenkins 平安正告页面的网址为:https://www.jenkins.io/security/advisories/
-
在 CloudBees 流水线中实现扫描报告剖析;
- 对剖析进行 CVE(Common Vulnerabilities & Exposures,通用破绽披露)评估和论证。
-
客户扫描报告剖析;
- 对剖析进行 CVE 评估和论证。
- 通过共享的 Slack 渠道、Confluence 和学习倒退训练,进行教育和领导,晋升外部和内部的安全意识;
- 遵循产品开发团队执行的外部 OLA(操作级别协定)政策;
- Jenkins CERT 是一个 CNA(CVE 编号的散发机构),容许生成 CVE。
疑难问题解答
以下是对于 Jenkins 平安话题的两个问题,龙智 CloudBees 的技术专家进行了解答,心愿能为您提供参考。
问题 1:
在 Jenkins 的平安正告里,最初会提醒哪些插件破绽还没有修复,然而 CloudBees 里的平安正告最初都是让降级版本,这意思是降级版本能够解决 / 防止插件破绽吗?
解答:
是的,CI 在降级版本的时候,曾经蕴含了新版本的 Plugin,而这些新版本的 Plugin 会会蕴含这些安全漏洞的修复。
问题 2:
对于插件破绽,Jenkins 也能够降级 Plugin 版本来解决?
解答:
开源的 Jenkins 不会帮忙你去测试新版本的 Plugin 和其余 Plugin 的兼容性,后果就是必须本人去解决兼容性问题,这也是开源 Jenkins 降级最让人头疼的问题之一。
然而 CloudBees 所提供的降级版本,新的 Plugin 曾经和其余的新旧版本的 Plugin 都测试过兼容性了,所以下载后间接可用,不便省心。