处理插件中的漏洞

我们努力及时修复Jenkins和插件中的所有安全漏洞。必威国际有限公司然而,Jenkins项目的结构,它为插件维护者提供了很多自主必威国际有限公司,并且插件的数量和多样性使得这是不可能的保证。

无法达到维护人员时

如果有插件漏洞,我们尝试联系插件维护者以通知它们。如果他们拒绝(或以其他方式失败)来修复漏洞,或者不及时响应,而且安全团队没有能力修复它,我们按照我们的用户兴趣遵循以下过程:

  1. 发布有关插件的安全咨询,描述漏洞的性质,但注意到不再使用插件不再使用。如果有解决方法,请解释它们。

  2. 在一些高度严重性漏洞的情况下,停止在jenkins更新网站上发布漏洞插件必威国际有限公司

  3. 将元数据添加到插件站点,指示易受攻击的插件,以通知可能已安装插件的管理员。

后来跟进

在我们宣布其插件中尚未解决之后,一些维护者最终会解决安全漏洞。这可以是出版后数小时与年之间的任何时间。

在这些情况下,安全建议将会不是修改,因为所提供的信息在发布时是正确的。此外,安全咨询将明确指出,缺少修复是唯一已知的。”发布此咨询“。

我们将更新向Jenkins和On的管理员展示的安全警告元数据必威国际有限公司插件网站。维护者可以通过JIRA通知我们或关于修复的电子邮件文件拉请求更新警告元数据他们自己。一旦我们确认修复正确并完成,我们将更新已发布的警告元数据。这将从插件站点上的插件条目中和直接在Jenkins中从插件管理器中删除活动安全警告。必威国际有限公司

暂停插件

结合发布宣布未解决的安全问题的安全咨询的发布,暂停了以下插件的分布。Jenk必威国际有限公司ins Security团队认为,大多数用例都会受到这些安全漏洞的负面影响,并且更适合Jenkins Ecosystem,不再以目前的形式分发这些插件,以防止对用户造成伤害。这通常是这种情况,当插件具有特别严重的安全漏洞时,故意绕过或禁用保护机制,或者无论如何都要对用户提供很少的好处。

除非安全问题是插件所固有的,而不是唯一的目的对于该插件,Jenkins安全团队欢迎必威国际有限公司修复漏洞和恢复插件分发的努力。

除了出于安全原因而挂起的插件外,以下需要挂起插件才能运行的插件也将挂起,因为它们无法安装:

  • 构建自动化管理工具(构建配置器) 取决于复制到从机

  • Build-Flow-Extensions-Plugin取决于构建流插件

  • 构建流测试 - 聚合器取决于构建流插件

  • Build-Flow-Toolbox-Plugin取决于构建流插件

  • 外部资源调度器(ExternalResource-Dispatcher.) 取决于构建流插件

  • Kubernetes :: Pipeline :: Aggregator(Kubernetes-pipeline-aggregator) 取决于Kubernetes-pipeline-arquillian-stepkubernetes管道台阶

  • lsf云取决于复制到从机

  • SGE云插件(sge云插件) 取决于复制到从机

  • XTrigger(XTrigger.) 取决于脚本触发器