Jenkins管理员概述必威国际有限公司

本页介绍Jenkins用户和管理员需要了解的有关Jenkin必威国际有限公司s安全过程的所有信息。

术语

在Jenkins安全项目的上下文中,我们使用必威国际有限公司具有特定含义的以下术语:

安全漏洞

对机密性、完整性或可用性有影响的非故意弱点,通常允许攻击者获取或修改信息。

安全问题

可以互换的安全漏洞

安全补丁

修复安全漏洞的特定更改。

安全更新

包含一个或多个安全修补程序的版本。

安全咨询

安全问题和安全更新的公告。详见下面。

Jenkins团队如何了解必威国际有限公司安全问题?

安全研究人员、Jenkins贡献者、Jenk必威国际有限公司ins安全团队成员以及常规Jenkins用户和管理员向Jenkins安全团队报告他们发现的潜在安全问题必威国际有限公司,通过安全项目在我们的问题跟踪或通过电子邮件。詹金斯的必威国际有限公司安全团队然后评估报告,看看这是一个真正的安全问题还是其他什么,并采取相应的行动。

詹金斯团队是如何解决问题的必威国际有限公司?

我们与受影响组件的维护者一起解决这些问题。对于Jenkins(核必威国际有限公司心),安全团队成员通常会开发修复程序。

一旦修复就绪或我们已经确定组件维护不够积极,我们将在安全咨询中公布问题和修复(如果适用)。

什么是安全咨询?

安全咨询是关于安全问题的公告,包括解决方法和修复。在Jenkins项目中,我们发布所有安全建议必威国际有限公司在这里并通过各种渠道公布。

安全公告是如何宣布的?

我们宣布通过多种渠道发布新的安全建议:

此外,如果Jenkins管理必威国际有限公司员已影响安装的Jenkins或插件的版本,他们会直接在Jenkins中通知Jenkins管理员已发布的安全问题。

安全公告提供哪些信息?

Jenkins项目发布的安全咨询包含以下部分:必威国际有限公司

  1. 咨询文件中包含的组件列表

  2. 安全问题的描述,以及(如果适用的话)如何处理这些问题

  3. 使用CVSS 3.0模型的问题严重性列表

  4. 受影响的版本列表

  5. 修复版本列表,以及(如果适用)没有可用修复的组件列表

  6. 记者信贷谁通知了詹金斯项目必威国际有限公司

版本号列表是最有用的通用简短参考。安全咨询的主要内容在一节中有详细说明,重点是回答以下各节中的以下问题。

安全问题的种类

每期的标题为熟悉最常见(如OWASP Top 10)安全漏洞类型的读者提供了一个快速的概要。下面的描述将详细介绍。

谁能够利用这个问题,如何利用?

描述通常会提到必要的权限,例如Overall/Read或Job/Configure,除非在无法充分确定的情况下。例如,通过像Pipeline-as-Code这样的常见实践,有限的作业配置权限被委托给具有SCM提交访问权限的用户,因此声称需要job /Configure权限会无意中产生误导。

跨站点请求伪造(CSRF)漏洞本质上不要求攻击者拥有任何权限,因此通常会忽略信息。

成功开发的影响

在许多情况下,成功利用漏洞的影响直接与漏洞类型有关:跨站点脚本漏洞最终可以作为受害者在Jenkins网页上执行命令,而远程代码执行漏洞可以执行任意代码。必威国际有限公司

在某些情况下,不清楚是什么原因造成的准确的一个问题的影响是巨大的。根据我们对预期影响的信心程度,我们将提供最佳估计或说明部分影响尚不清楚。

如何解决这个问题

如果问题已解决,安全咨询将包括以下信息:如何这个问题得到了解决。这有助于理解更新的影响。例如,以前不安全的特性可能不再像某些用户所期望的那样工作,如果他们依赖不安全的行为。

请注意,本节仅解释在发布安全咨询时有修复程序可用的情况下如何解决问题。了解更多信息:安全警告是否稍后更新?

不明显的变通办法(如适用)

在某些情况下,可以使用隐藏选项禁用受影响的特性。如果该特性没有被使用或没有必要,这可能是解决问题的一种短期方法。

这里只会提到问题描述中没有明确的变通方法。例如,如果描述中提到攻击者需要特定的权限才能利用漏洞,那么解决方案可能是从不完全信任的任何人那里撤销该权限。这将不会在咨询中明确提到。

如何禁用(部分)安全修复程序

安全修复需要经过有限的测试,所以我们通常会添加“逃生舱口”,即在出现意外问题时禁用全部或部分安全修复的机制。

禁用安全修复通常会导致安全问题。很少有必要这样做。管理员应确保报告问题用Jenkins项目的公共问题跟踪器的安全修复作为回归必威国际有限公司。

我应该以多快的速度应用安全更新?

理想情况下,您可以立即应用安全更新。我们发布的各种公告旨在最大限度地减少我们发布安全建议和用户了解安全建议之间的任何不必要的延迟。此外,我们的安全补丁开发指南确保安全更新通常非常安全。在许多情况下,安全修复还包括隐藏选项,允许您暂时禁用(部分)安全修复,如果它们最终导致问题

如果您无法立即应用每个安全更新,安全咨询将解释每个安全问题:

此信息有助于您了解自己是否受到影响:例如,如果您完全信任所有有权访问Jenkins的人,则可能不需要紧急修复需要攻击者成为Jenkins中具有某些权限的用户的问题。必威国际有限公司

Jenkins的可扩展性使得我们不可能对所必威国际有限公司有情况下的可利用性和影响提供明确的答案。尽管Jenkins安必威国际有限公司全团队努力理解安全问题,并在安全建议中提供最佳可用信息,但这并不保证我们总是正确的。即使安全问题看起来与您的环境无关,也可能最终影响您的设置,因此应该尽早安装安全更新。

我可以计划维护窗口吗?

对于大多数安全咨询,我们会向必威国际有限公司詹金西咨询谷歌集团。根据咨询内容,通常提前几天发送,有时长达一周。

这些预告只会指定Jenkins(核心)和/或插件是否受到影响。必威国际有限公司受影响的插件(如果有的话)没有被识别出来,但公告提供了一些信息,让Jenkins管理员可以估计它们是否受影响,以及计划立即更新有多重要:必威国际有限公司

  • 最受欢迎的包括插件,以及影响这些插件的最严重的问题。

  • 最严重的包含问题,和流行的最流行的插件在这组。

必威国际有限公司詹金西咨询列表存档有关过去的预先公告的示例。

有些咨询是在没有事先宣布的情况下发布的。原因包括:咨询没有提前一两天计划好;或者它的内容要到出版前才能定稿。

什么时候发布安全公告?

安全警告是否稍后更新?

如果稍后发现任何信息是错误的,安全警告将被更新截至出版时. 如果更正对理解安全建议很重要,则这些后续更新将通过相同的渠道发布。

如果安全顾问在没有修复的情况下宣布插件中存在安全问题,并且稍后提供了修复,那么现有的安全顾问将不会更新。了解更多信息:处理插件中的漏洞:稍后跟进

我们也可以应用不改变内容含义的小变化(例如语法修正、措辞或修复损坏的链接)。这样的更改不会发送通知。

如何安全地配置Jenkins ?必威国际有限公司