一个多月前,GitHub宣布其代码扫描解决方案的通用可用性.它是基于CodeQL,这使得编写查询并使用CodeQL GitHub操作、CodeQL命令行工具或on来运行查询变得非常容易lgtm.com

Jenkins插件中发现的许多安全漏洞都非常相似,不幸的是,它们通常是Jenkins特有的,这意味着现必威国际有限公司有的通用工具无法发现它们。所以我决定为jenkins特有的问题编写CodeQL查询必威国际有限公司邀请维护人员为他们的插件注册一个“私有测试版”对这些问题进行代码扫描。

今天的安全报告是第一个包含通过该倡议发现的发现的报告。所有这些问题都是在这个工具的帮助下发现的:

当然,也有我们不得不审查和标记为忽略的假阳性,与GitHub UI的集成使这一点非常简单。总的来说,我对到目前为止的结果感到非常高兴,特别是考虑到这是一项新举措。

想让插件更安全吗?现在注册提交INFRA问题github组件,并列出您想要扫描的插件库。

关于作者
丹尼尔·贝克

丹尼尔是詹金斯的核心维护必威国际有限公司人员,作为安全官员,领导必威国际有限公司詹金斯安全团队.他有时为开发人员文档和项目基础架构做出贡献。