接近两年前,我们宣布新的,更安全的CLI在2.54由于各种原因,正在弃用Jenkins命令行界面的传统“远程”操作模式,特别是其安全记录非常差。必威国际有限公司今天在Jenkin必威国际有限公司s 2.165对此模式的支持最终删除,在服务器上并捆绑在一起必威国际有限公司jenkins-cli.jar.客户。预计的6月5th LTS发布将反映这种删除,此时Jenkins项目将不再维护此功能,也不需要调查安全漏洞。必威国际有限公司
此更改使Jenkins内核中的代码与CLI相当更简单,更可维必威国际有限公司护。(还有两个运输-http(s)和ssh - 但它们具有相似的能力和行为。)它还减少了“攻击表面”詹金斯安全团队必须考虑。必威国际有限公司在其他问题中,一个受损服务器如果可以自由攻击开发人员的笔记本电脑- 抛光被使用了。
这2.46.x升级指南已敦促管理员在服务器上禁用远程传输模式。那些依赖于远必威国际有限公司程脚本的CLI的Jenkins用户(而不是HTTP(S)仍然存在于HTTP(S)仍然使用- 抛光CLI标志,由于默认值长期以来一直在使用HTTP(S)模式。
大多数CLI功能长期以来一直很好- 抛光,在某些情况下使用略微不同的语法,例如要求shell重定向到访问本地文件。作为此更改的一部分,jenkins核心中的某些CLI命令,选项和选项类型已被删除,除此之外必威国际有限公司- 抛光本身:
这
登录和登出命令,和- 用户名和- 密码选项。这
-P.选择代理的选项。(默认情况下的CLI-http.模式访问Jenkins与任何必威国际有限公司其他HTTP客户端无不同。)这
安装工具那SET-BUILD-参数, 和设置 - 构建结果命令依赖于不再可支持的基本不安全的成语。命令选项或参数,它采用本地文件或
=对于标准输入/输出(例如,安装 - 插件那build -p.那支持)现在只接受后者。相对较少使用的插件的某些功能将不再工作,例如:
|
Jesse Glick.
Jesse多年来一直在开发Jenkins核心和插件。必威国际有限公司他是与管道系统核心基础设施的柯霍克的同志。 |