写点什么

面对复杂的系统与众多的插件,如何确保 Jenkins 项目的安全性?

  • 2023-05-10
    上海
  • 本文字数:1266 字

    阅读完需:约 4 分钟

面对复杂的系统与众多的插件,如何确保Jenkins项目的安全性?

CloudBees 在 Jenkins/CBCI 生态系统上建立了一个专门的安全团队。关于该团队的公开信息可以在从此链接中找到:https://www.jenkins.io/security/。由于所涉及的系统复杂且插件数量众多(见下文),许多扫描提供的信息缺少有价值的上下文,除非使用者有相应的工具经验。所以,专门的安全团队很有必要。

安全团队主要行动和责任


以下是该团队所采取的关键行动的大纲,并在适当的地方提供了链接。如需进一步信息,请发送邮件至 support@cloudbees.com,或联系CloudBees授权合作伙伴——龙智(customer@shdsd.com)


  • 审计新插件代码的托管请求(想要进入生态系统的插件);



https://github.com/jenkins-infra/repository-permissions-updater/labels/hosting-request


  • 审计 CAP 中是否包含插件(希望进入 CloudBees 保证计划的插件);

  • 根据插件的流行程度(基于安装数量判断),对随机插件进行主动审核;

  • 当 CloudBees 发现危险模式时,进行大规模分析/调查;

  • 由于需要涵盖 2000 多个插件,这对 CI 生态系统来说是特殊的。

  • Jenkins 专用工具开发(jenkins-codeql 和 usage-in-plugins);

  • Jenkins 插件生态系统的 CodeQL 自定义规则;

  • 这些规则检测到安全专家多年来发现的常见缺陷,利用 CloudBees 团队的专业知识为上下文提供一些有意义的东西。

  • 工具开发,以防止缺陷被引入。

  • https://github.com/jenkins-infra/jenkins-codeql

  • 多种模式(Classes, Methods 和 Fields 等)的自定义代码搜索引擎。

  • https://github.com/jenkins-infra/usage-in-plugins

  • 外部安全研究人员和插件维护者之间的协作/协调;

  • 确保报告清晰,包含足够的细节;

  • 复现不同的漏洞;

  • 为维护人员提供建议;

  • 审查纠正,协调发布版本。



CloudBees安全警告页面网址为:https://www.cloudbees.com/security-advisories



Jenkins 安全警告页面的网址为:https://www.jenkins.io/security/advisories/


  • 在 CloudBees 流水线中完成扫描报告分析;

  • 对分析进行 CVE(Common Vulnerabilities & Exposures,通用漏洞披露)评估和论证。

  • 客户扫描报告分析;

  • 对分析进行 CVE 评估和论证。

  • 通过共享的 Slack 渠道、Confluence和学习发展训练,进行教育和指导,提升内部和外部的安全意识;

  • 遵循产品开发团队执行的内部 OLA(操作级别协议)政策;

  • Jenkins CERT 是一个 CNA(CVE 编号的分发机构),允许生成 CVE。

疑难问题解答


以下是关于 Jenkins 安全话题的两个问题,龙智 CloudBees 的技术专家进行了解答,希望能为您提供参考。


问题 1:


在 Jenkins 的安全警告里,最后会提示哪些插件漏洞还没有修复,但是 CloudBees 里的安全警告最后都是让升级版本,这意思是升级版本可以解决/避免插件漏洞吗?


解答:


是的,CI 在升级版本的时候,已经包含了新版本的 Plugin,而这些新版本的 Plugin 会会包含这些安全漏洞的修复。


问题 2:


对于插件漏洞,Jenkins 也可以升级 Plugin 版本来解决?


解答:


开源的 Jenkins 不会帮助你去测试新版本的 Plugin 和其他 Plugin 的兼容性,结果就是必须自己去解决兼容性问题,这也是开源 Jenkins 升级最让人头疼的问题之一。

但是CloudBees所提供的升级版本,新的 Plugin 已经和其他的新旧版本的 Plugin 都测试过兼容性了,所以下载后直接可用,方便省心。

用户头像

还未添加个人签名 2021-05-18 加入

分享DevSecOps解决方案最新动态,帮助您学习与使用Atlassian, Perforce, Whitesource, Cloudbees及龙智自研产品,实现软件研发的高度协同与自动化,提高交付效率与质量,并确保开发过程可追溯、可度量。

评论

发布
暂无评论
面对复杂的系统与众多的插件,如何确保Jenkins项目的安全性?_ci_龙智—DevSecOps解决方案_InfoQ写作社区