Jenkins 安全

Jenkins 项目很重视安全问题。我们尽一切努力确保用户能够充分保护其自动化基础架构。为此,我们与 Jenkins 核心、插件的开发人员,以及安全研究人员合作,及时修复 Jenkins 中的安全漏洞,并提高 Jenkins 的安全性。

在 Jenkins 安全性问题用户手册中了解 Jenkins 安全相关的内容。

安全公告

过往的安全公告见 安全公告存档

安全通知

我们使用 jenkinsci-advisories Google 小组向用户通知即将发布的计划安全更新:

当有安全性更新时,我们会通知 jenkinsci-advisoriesoss-security 邮件列表。

即使您的 Jenkins 实例无法及时的获取安全升级信息, 我们也建议您订阅 jenkinsci-advisories

如何报告安全漏洞

如果您在 Jenkins 中发现漏洞,请在 SECURITY 项目下的问题追踪器中报告。此项目的配置方式是只有报告者和安全团队才能看到详细信息。通过限制对这种潜在敏感信息的访问,我们可以在攻击方法众所周知之前处理修复并交付它。

如果您无法使用我们的问题跟踪器进行举报,您还可以将报告发送到私有 Jenkins 安全团队邮件列表: jenkinsci-cert@googlegroups.com

为了表达我们对您的帮助的感谢,我们为您个人提供的有效漏洞给予 小奖励

关于 Jenkins 安全团队

Jenkins 安全团队是由 Jenkins 安全官领导的一组志愿者,他们对安全漏洞进行分类和修复。

加入的资格,通常要求需要对 Jenkins 项目有积极贡献的人,且需 Jenkins 安全官批准。要加入,您需要:

  1. 已经在 GitHub 上 开启两步授权认证,

  2. a CLA

  3. 注册的 IRC 昵称

然后,请联系我们 jenkinsci-developers 邮件列表。请务必告诉我们您的 GitHub,Freenode(IRC)和 Jenkins 的社区用户名。

核心中的安全漏洞通常由该团队的成员解决,而插件中的漏洞通常与插件维护者协作解决。为此,插件维护者被授予访问我们的问题追踪器中涉及其插件的问题的权限,并且我们在 jenkinsci-cert GitHub 组织中创建私有存储库以进行协作和PR审查。

插件中的漏洞

我们努力及时修复 Jenkins 和插件中的所有安全漏洞。然而,Jenkins 项目的结构为插件维护者提供了很多自主权,插件的数量和多样性使得这一点变得不可能。

如果出现插件漏洞,我们会尝试联系插件维护者以通知他们。如果他们拒绝(或以其他方式失败)修复漏洞,或者没有及时响应,并且安全团队没有能力修复漏洞,我们会按照下面列出的流程维护用户的利益:

  1. 发布有关插件的安全公告,描述漏洞的性质,但注意除了不再使用插件之外没有其他修复。如果有解决方法,请说明。

  2. 根据漏洞的严重程度,停止在 Jenkins 更新站点上发布易受攻击的插件。

  3. 向插件站点添加元数据,指示易受攻击的插件,以通知可能已安装插件的管理员。Jenkins 2.40 和 LTS 2.32.2 支持显示这些警告。