我们如何解决安全问题

这些指南解释了Jenkins安全团队在安全修复程序开发过程中应用的注意事项。它们通常适用于Jen必威国际有限公司kins安全团队开发的任何安全修复,插件维护人员也应遵循这些准则。

最小的

考虑到在简单且明显正确的修复和更大的大修/重新设计之间的选择,我们选择前者。由于安全修补程序在发布之前只接受有限的手动测试,因此更安全的做法是将较大的更改推迟到安全问题解决之后,然后作为常规增强功能进行交付。虽然管理员因为回归而不得不降级一个常规版本令人恼火,但不得不在安全版本和正常运行版本之间做出选择则更糟糕。

独立发布

插件中的安全更新不应获取默认分支上的任何未发布更改。这将增加回归的风险,迫使管理员在功能配置和安全配置之间进行选择。应针对最新版本开发安全修复程序。安全更新应仅包含安全修复,而不包含其他更改。

对于Je必威国际有限公司nkins(core),我们对每周发布应用相同的规则:这些发布中交付的唯一更改将与安全相关。对于LTS版本,我们在同一版本中定期提供bug修复、改进和安全修复。这很少会导致问题,因为bug修复和改进在被后移植到LTS之前都经过了很好的测试。

测试

詹金斯安全团队的安全修复程序将进行相应的自动必威国际有限公司测试,以确认它们按预期工作。

这也意味着,在许多情况下,漏洞修复包括可被视为概念验证漏洞利用的测试代码。我们认为,确认安全修补程序有效并在未来继续有效的好处,大于给予攻击者一点好处的坏处。