番石榴升级

概括

必威国际有限公司Jenkins捆绑郭瓦是来自谷歌的核心Java库。从Jenkins 2.320开必威国际有限公司始(2021年11月10日发布),Jenkins已经升级了番石榴库11.0.1(2012年1月9日发布)31.0.1(2021年9月27日发布)。插件已经准备好支持新版本的番石榴Jep-233.使用Plugin Manager以前升级所有插件升级到Jenkins 2.320后。必威国际有限公司

动机

使用或计划使用的许多安全意识的组织Jenkins运行了安全扫描仪以查找已知的漏洞。必威国际有限公司这些通常标记过时的番石榴库,易受序列化相关的漏洞(CVE-2018-10237)并建议升级。詹金斯使用必威国际有限公司Jep-200.要为反序列化的允许类的显式列表,并且由CVE-2018-10237影响的两个Guava类不是,永远不会添加到列表中,这是耗时的安全团队响应据称的安全报告,并为用户提供豁免政策以使用Jenkins无论如何。必威国际有限公司

此外,番石榴十年古老版本长期以来一直是詹金斯开发商的维护负担。必威国际有限公司在indiobabot以前发布的图书馆向图书馆提供升级的世界中,使用多年历史的依赖性是不愉快的。

有关更多信息,请参阅Jep-233.

升级

绝大多数插件已经准备好支持新版本的番石榴Jep-233.。必威国际有限公司Jenkins用户只需要将插件升级到兼容的版本,如在JIRA的“发布为”字段中所记录的版本。使用Plugin Manager以前升级所有插件至关重要升级到Jenkins 2.320后。必威国际有限公司未能将插件升级到兼容的版本可能会导致ClassNotFoundException.noclassdeffounderror或其他低级Java错误。

报告问题

如果在插件中找到回归,请在JIRA中提交错误报告:

报告问题时,包括以下信息:

  1. 使用Jep-233.标签。

  2. 提供完全的建议的已安装插件列表错误报告指南

  3. 提供完全的堆栈跟踪,如果相关。

  4. 提供重现问题的步骤从头开始在最小的Jenkins安装必威国际有限公司上;当Jenkins 2.320或更高版本的步骤跟随步骤后,方案应失败,并在Jenkins 2.319或更早版本上跟必威国际有限公司踪步骤时通过。

如果您使用Open Jep-233问必威国际有限公司题维护Jenkins插件,请检查是否有等待合并或发布的拉请求。如果您使用未打开JEP-233问题的未欣赏Jenkin必威国际有限公司s插件,请考虑加紧升级采用插件释放兼容版本。

结论

我们希望看到这些变化中的一些中断,但长期以来,他们将节省核心和插件开发人员的时间,并导致更安全且稳定的工具。请伸出援手开发人员的名单有任何问题或建议。

关于作者
罗勒乌鸦

罗勒是一个长期的Jenkins用户和贡献者必威国际有限公司,Jenkins核心维护者,以及维护者电子邮件扩展名时间表, 和一群插件(等)。罗勒在空闲时间享受开源软件。