他们的系统看起来类似于Jenkins项目中发布插件的工作方式:必威国际有限公司

  • 帐户受用户选择的密码保护。

  • 个人贡献者有权发布他们维护的组件。

  • 他们发布的组件被世界各地数以百万计的开发人员用于交付他们的软件。

换句话说,弱密码对我们来说是一个问题,就像对NPM一样,发生在它们身上的事情也可能发生在我们身上。

为了解决这个问题,Jenkins的安全和基础设施团队最近合必威国际有限公司作进行了密码审计。审计涵盖了所有拥有上传插件和组件权限的账户,以及拥有其他级别特权的基础设施访问权限的账户。我们使用蛮力工具对这些账户的咸密码哈希表进行分析,寻找“弱”密码——我们选择的一组公开的密码列表中的密码。

我们检查了每个合格账户的密码,找出每个不安全的密码,而不是试图将它们与之前任何密码泄露的电子邮件/密码对进行匹配。使用弱密码的用户在几周前通过电子邮件收到通知,并被要求更改密码为更强的密码。

我们在前一个周末执行了相同的检查,但这一次我们只检查了在第一次检查中被认为密码较弱的帐户的密码。然后,我们使密码仍然不被认为是“强”的任何帐户的密码失效(即,他们的密码没有改变或已更改为另一个弱密码)。这些账户的用户在再次登录之前需要请求重置密码。

我们计划实施进一步的安全措施,包括改进账户管理应用程序https://accounts.必威国际有限公司jenkins.io拒绝弱密码。如果你有兴趣帮助安保团队让詹金斯更安全,请在必威国际有限公司必威国际有限公司jenkinsci-dev邮件列表,或申请加入安全小组

关于作者
丹尼尔·贝克

丹尼尔是詹金斯核心维护者必威国际有限公司和成员必威国际有限公司詹金斯安全团队.2015年至2021年,他是詹金斯的首任安必威国际有限公司全官员。他有时在业余时间为开发人员文档和项目基础设施做贡献。