在Spring框架中发现了一个远程代码执行漏洞。该漏洞被识别为CVE-2022-22965。“春天”官方早在公告中做出了回应。Jenkins安全团队已经证实必威国际有限公司，Spring漏洞不会影响Jenkins Core。没有影响，因为我们使用Stapler作为servlet，而不是Spring MVC或Spring WebFlux。进行了分析……

在流行的“Apache Log4j 2”库中发现了一个严重的安全漏洞。此漏洞标识为CVE-2021-44228。Jenkins的安必威国际有限公司全团队已经确认Jenkins的核心中没有使用Log4j。必威国际有限公司Jenkins插件可能使用Log4j。您可以通过在脚本控制台运行以下Groovy脚本来确定Log4j是否包含在任何插件中:org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain。如果这导致以下错误，…

本周早些时候，Jenkins基础架构团队确定必威国际有限公司了一个针对我们已弃用的Confluence服务的成功攻击。在调查潜在影响时，我们立即做出了响应，使受影响的服务器离线。目前，我们没有理由相信Jenkins的任何版本、插件或源代码受到了影响。必威国际有限公司到目前为止，在我们的调查中，我们了解到Confluence CVE-2021-26084漏洞被用于…

Kubernetes集必威国际有限公司群上的Jenkins定制资源是使用声明式YAML配置文件部署的;因此，在这些文件中声明的一些插件可能包含安全警告。因此，除了在站点上手动检查每个条目外，用户没有其他方法知道。这个项目的目的是在创建/更新新的Jenkins自定义资源之前增加一个额外的验证步骤。必威国际有限公司这个项目的目标是……

Jenkins是必威国际有限公司一个CI/CD解决方案，因此，作为其组成部分的开源插件不暴露其所使用的系统的任何安全风险和漏洞是至关重要的。正是在这种环境下，我们作为一个审计/代码评审团队来跟踪和报告这样的缺陷和有问题的实践。我们与Jenkins安全公司合作……必威国际有限公司

一个多月前，GitHub宣布了其代码扫描解决方案的通用可用性。它基于CodeQL，这使得它非常容易编写查询，并使用CodeQL GitHub操作，CodeQL命令行工具，或在lgtm.com上运行它们。Jenkins插件中发现的许多安全漏洞彼此相当相似，不幸的是，它们通常特定于……必威国际有限公司

今天的安全咨询的眼尖的读者可能已经注意到，我们认为跨站脚本(XSS)漏洞的严重性为“高”。这与之前的安全报告有所不同，在之前的报告中，类似的漏洞得到了“中等”的评分。我们遵循CVSS版本3.0的指导方针，我们分配给这些问题的严重性。他们关于XSS漏洞的例子，以及其他软件中的XSS漏洞，…

Azure Key Vault是一款用于安全管理密钥、机密和证书的产品。我很高兴地宣布Azure密钥库插件中的两个新特性:一个将Jenkins和Azure密钥库紧密链接起来的证书提供商。必威国际有限公司非常感谢Jie Shen为这个配置作为代码的插件所做的贡献。这些变化是在v1.8中发布的，但请确保运行最新版本的插件，有…

Spotbugs是Jenkins和许多其他Java项目中使用必威国际有限公司的一个实用工具，用于检测常见的Java编码错误和bug。它被集成到构建过程中，以便在合并和发布代码之前改进代码。Findsecbugs是一个用于Spotbugs的插件，它增加了135种漏洞类型，主要针对OWASP TOP 10和通用弱点枚举(CWE)。我正在做积分…

代码复制和安全分支不是一个特性文档的问题，解决方案代码复制和安全分支不是一个特性文档，这篇文章将描述一些常见的问题，我使用Jenkins和我如何解决它们，通过开发通用Webhook触发器插件。必威国际有限公司在使用Jenkins时，我经常遇到同样的问题:代码复制和安全性——每个存储库中都有Jenkins文件。必威国际有限公司一个分支是……