乐趣区

关于jenkins:面对复杂的系统与众多的插件如何确保Jenkins项目的安全性

CloudBees 在 Jenkins/CBCI 生态系统上建设了一个专门的平安团队。对于该团队的公开信息能够在从此链接中找到:https://www.jenkins.io/security/。因为所波及的零碎简单且插件数量泛滥(见下文),许多扫描提供的信息短少有价值的上下文,除非使用者有相应的工具教训。所以,专门的平安团队很有必要。

平安团队次要口头和责任

以下是该团队所采取的要害口头的纲要,并在适当的中央提供了链接。如需进一步信息,请发送邮件至 support@cloudbees.com,或分割 CloudBees 受权合作伙伴——龙智(customer@shdsd.com)。

  • 审计新插件代码的托管申请(想要进入生态系统的插件);

https://github.com/jenkins-infra/repository-permissions-updater/labels/hosting-request

  • 审计 CAP 中是否蕴含插件(心愿进入 CloudBees 保障打算的插件);
  • 依据插件的风行水平(基于装置数量判断),对随机插件进行被动审核;
  • 当 CloudBees 发现危险模式时,进行大规模剖析 / 考察;

    • 因为须要涵盖 2000 多个插件,这对 CI 生态系统来说是非凡的。
  • Jenkins 专用工具开发(jenkins-codeql 和 usage-in-plugins);

    • Jenkins 插件生态系统的 CodeQL 自定义规定;

      • 这些规定检测到平安专家多年来发现的常见缺点,利用 CloudBees 团队的专业知识为上下文提供一些有意义的货色。
      • 工具开发,以避免缺点被引入。
      • https://github.com/jenkins-infra/jenkins-codeql
    • 多种模式(Classes, Methods 和 Fields 等)的自定义代码搜索引擎。

      • https://github.com/jenkins-infra/usage-in-plugins
  • 内部平安钻研人员和插件维护者之间的合作 / 协调;

    • 确保报告清晰,蕴含足够的细节;
    • 复现不同的破绽;
    • 为保护人员提供倡议;
    • 审查纠正,协调公布版本。

CloudBees 平安正告页面网址为:https://www.cloudbees.com/security-advisories

Jenkins 平安正告页面的网址为:https://www.jenkins.io/security/advisories/

  • 在 CloudBees 流水线中实现扫描报告剖析;

    • 对剖析进行 CVE(Common Vulnerabilities & Exposures,通用破绽披露)评估和论证。
  • 客户扫描报告剖析;

    • 对剖析进行 CVE 评估和论证。
  • 通过共享的 Slack 渠道、Confluence 和学习倒退训练,进行教育和领导,晋升外部和内部的安全意识;
  • 遵循产品开发团队执行的外部 OLA(操作级别协定)政策;
  • Jenkins CERT 是一个 CNA(CVE 编号的散发机构),容许生成 CVE。

疑难问题解答

以下是对于 Jenkins 平安话题的两个问题,龙智 CloudBees 的技术专家进行了解答,心愿能为您提供参考。

问题 1:

在 Jenkins 的平安正告里,最初会提醒哪些插件破绽还没有修复,然而 CloudBees 里的平安正告最初都是让降级版本,这意思是降级版本能够解决 / 防止插件破绽吗?

解答:

是的,CI 在降级版本的时候,曾经蕴含了新版本的 Plugin,而这些新版本的 Plugin 会会蕴含这些安全漏洞的修复。

问题 2:

对于插件破绽,Jenkins 也能够降级 Plugin 版本来解决?

解答:

开源的 Jenkins 不会帮忙你去测试新版本的 Plugin 和其余 Plugin 的兼容性,后果就是必须本人去解决兼容性问题,这也是开源 Jenkins 降级最让人头疼的问题之一。

然而 CloudBees 所提供的降级版本,新的 Plugin 曾经和其余的新旧版本的 Plugin 都测试过兼容性了,所以下载后间接可用,不便省心。

退出移动版