报告安全漏洞

概述

感谢您对Jenkins项目报告漏洞的兴趣!必威国际有限公司

请在问题跟踪器下报告安全项目. 此项目的配置方式只有报告者和安全团队才能看到详细信息。通过限制对这些潜在敏感信息的访问,我们可以在攻击方法广为人知之前进行修复并交付。

如果您无法使用我们的问题跟踪器报告,您还可以将您的报表发送给私人Jenkins安全团队邮件列表:必威国际有限公司必威国际有限公司jenkinsci-cert@googlegroups.com.然后我们将代表您提交问题。

范围

本节旨在澄清Jenkins安全团队处理问题的范围。如有疑问,我们建议您如上所述向我们报告问题,并让我们对其进行评估。必威国际有限公司

成分

请报告以下组件中存在的问题:

以下组件超出范围:

漏洞类型

我们不认为以下问题是詹金斯的弱点:必威国际有限公司

  • 由于缺乏可用性而导致的跨站点脚本(XSS)漏洞默认转义XML处理指令,因为这些指令只能在Jenkins 2.146和2.138.2之前的版本中使用。必威国际有限公司

  • 没有合理的或显示的漏洞利用的依赖性的漏洞不会被视为漏洞。虽然我们通知维护者有关更新其依赖项的需要,并且可能会跟踪安全JIRA项目的进度,但不会向这些提供安全咨询。

  • Cookies未设置为保护由于詹金斯的错误配置。必威国际有限公司如果饼干是安全的https://ci.必威国际有限公司jenkins.io.,那是一个配置问题。

  • Cookies未设置为htthonly当它们不包含敏感信息时(例如“屏幕尺寸”)

  • 具有全局/RunScripts权限(通常由全局/administrate暗示)的用户可以使用脚本控制台、相关API执行任意代码(/ eval./脚本/脚本文本),以及许多插件。这是一个特点。

  • 由特定用户启动的作业可以在用户缺少代理/构建权限的代理上运行,并且本身可以触发用户缺少作业/构建权限的作业构建。查看构建的访问控制文档

问题处理过程

曾报告后,Jenkins安全团队将对该必威国际有限公司问题进行评估,以确定受影响的组件以及报告是有效的安全漏洞。我们努力回应三个工作日内的所有报告(周一至周五),一个工作日内的典型响应时间。

请注意,我们可能会选择拒绝作为安全漏洞的问题,同时仍在安全项目中跟踪它们。在这些情况下,问题类型将相应更改。

一旦问题准备在安全咨询中发布(通常是因为修复可用,或协调披露截止日期临近),如果问题在Jenkins CNA的范围内,Jenkins项目CNA将为漏洞分配一个或多个CVE标识符(如适用)。大约在这个时候,我们还将询问记者他们希望如何在安全咨询中获得信任,并发布漏洞描述草稿以供审查。必威国际有限公司

插件中的问题

大多数插件由专门用于少量插件的贡献者独立维护。在这些案件中,Jenkins Secur必威国际有限公司ity团队充当记者和维护者之间的中介,为记者提供了单一的联系。作为初始问题审查的一部分,Jenkins安全团队将尝试确定插件的当前维护者必威国际有限公司以分配问题。

虽然个人插件维护者有责任在其插件中修复安全问题,但是Jenkins安全团队通过提供释放的文件,审查和协调来帮助。必威国际有限公司

我们通常向维护者询问流行插件的维护人员只与Jenkins Security团队协调,以确保用户立即获取安全修复的可用性。必威国际有限公司在只有很少的安装中的插件中,我们通常建议维护人员一旦准备就绪,我们将在下一个合适的安全咨询中通知用户关于修复程序的下一个合适的安全咨询。

协调(负责)披露

如果您的问题报告截至截止日期,请提前通知我们提前了解。这使我们能够提前安排修复并确保高质量的修复。例如,Jenkins Co必威国际有限公司re是每月的释放节奏,每个发布几周测试,所以我们希望在修复到期时提前了解。

归因策略

我们将信用记者,他们将我们私下通知我们的安全漏洞。

礼物政策

安全咨询

我们发布Jenkins必威国际有限公司核心和插件安全咨询在这个网站上并通知用户通过各种邮件列表以及通过Jenkins UI的安全警告。必威国际有限公司