CloudBees在Jenkins/CBCI生态系统上建设了一个专门的平安团队。对于该团队的公开信息能够在从此链接中找到:https://www.jenkins.io/security/。因为所波及的零碎简单且插件数量泛滥(见下文),许多扫描提供的信息短少有价值的上下文,除非使用者有相应的工具教训。所以,专门的平安团队很有必要。

平安团队次要口头和责任

以下是该团队所采取的要害口头的纲要,并在适当的中央提供了链接。如需进一步信息,请发送邮件至support@cloudbees.com,或分割CloudBees受权合作伙伴——龙智(customer@shdsd.com)。

  • 审计新插件代码的托管申请(想要进入生态系统的插件);

https://github.com/jenkins-infra/repository-permissions-updater/labels/hosting-request

  • 审计CAP中是否蕴含插件(心愿进入CloudBees保障打算的插件);
  • 依据插件的风行水平(基于装置数量判断),对随机插件进行被动审核;

  • 当CloudBees发现危险模式时,进行大规模剖析/考察;

    • 因为须要涵盖2000多个插件,这对CI生态系统来说是非凡的。

  • Jenkins专用工具开发(jenkins-codeql和usage-in-plugins);

    • Jenkins插件生态系统的CodeQL自定义规定;

      • 这些规定检测到平安专家多年来发现的常见缺点,利用CloudBees团队的专业知识为上下文提供一些有意义的货色。
      • 工具开发,以避免缺点被引入。
      • https://github.com/jenkins-infra/jenkins-codeql

    • 多种模式(Classes, Methods 和Fields等)的自定义代码搜索引擎。

      • https://github.com/jenkins-infra/usage-in-plugins

  • 内部平安钻研人员和插件维护者之间的合作/协调;

    • 确保报告清晰,蕴含足够的细节;
    • 复现不同的破绽;
    • 为保护人员提供倡议;
    • 审查纠正,协调公布版本。

CloudBees平安正告页面网址为:https://www.cloudbees.com/security-advisories

Jenkins平安正告页面的网址为:https://www.jenkins.io/security/advisories/

  • 在CloudBees流水线中实现扫描报告剖析;

    • 对剖析进行CVE(Common Vulnerabilities & Exposures,通用破绽披露)评估和论证。

  • 客户扫描报告剖析;

    • 对剖析进行CVE评估和论证。
  • 通过共享的Slack渠道、Confluence和学习倒退训练,进行教育和领导,晋升外部和内部的安全意识;
  • 遵循产品开发团队执行的外部OLA(操作级别协定)政策;
  • Jenkins CERT是一个CNA(CVE编号的散发机构),容许生成CVE。

疑难问题解答

以下是对于Jenkins平安话题的两个问题,龙智CloudBees的技术专家进行了解答,心愿能为您提供参考。

问题1:

在Jenkins的平安正告里,最初会提醒哪些插件破绽还没有修复,然而CloudBees里的平安正告最初都是让降级版本,这意思是降级版本能够解决/防止插件破绽吗?

解答:

是的,CI在降级版本的时候,曾经蕴含了新版本的Plugin,而这些新版本的Plugin会会蕴含这些安全漏洞的修复。

问题2:

对于插件破绽,Jenkins也能够降级Plugin版本来解决?

解答:

开源的Jenkins不会帮忙你去测试新版本的Plugin和其余Plugin的兼容性,后果就是必须本人去解决兼容性问题,这也是开源Jenkins降级最让人头疼的问题之一。

然而CloudBees所提供的降级版本,新的Plugin曾经和其余的新旧版本的Plugin都测试过兼容性了,所以下载后间接可用,不便省心。