我在企业发展环境中工作,这种环境相当规避风险,管理层经常害怕变革。我已经为我们的开发团队的Jenkins解决方案如何工作制定了原型,并重点介绍了试点实施有所帮助的一些成功案例,但现在是时候让更广泛的受众以更持久的方式获得批准,并提出了一些安全问题。
首先,到目前为止,关注的问题集中在这个工具是开源的,插件是开源的,并由社区贡献者制作的,因此管理层担心有人可能会插入我们不会注意到的恶意代码当我们更新。我的观点是,如果有许多其他地方可以让詹金斯工作,我们也可以这样做,但这对我们的安全测试团队来说不一定是一个非常有说服力的论据。
我的问题是,有人可以告诉我他们如何保护自己的Jenkins实现,或者具体的Jenkins功能(沙盒等)是如何防止恶意代码在我们的系统上执行的?
答案 0 :(得分:0)
在软件或基础架构中使用第三方组件始终存在风险。需要注意的一件非常重要的事情是,开源并不比封闭源安全。虽然可能任何人都可以为开源项目贡献代码,但在大多数情况下,在实际进入项目之前会进行审核。当然,漏洞可能会漏掉,但与有很多开发人员的软件公司有何不同?一个漏洞也可能在那里漏洞,并且根据我们许多人的经验,它经常会发生。 :)在封闭源代码的情况下,你甚至不具备多元化社区的力量来发现这样的安全漏洞,你可以依赖的最好的是第三方渗透测试或代码扫描,这两者都错过了很多问题
如果像詹金斯这样一个完善的项目,你可以非常肯定有很多很多的安全审查,可能比你现在拥有的任何闭源商业工具更多。
与任何第三方组件一样,您应该尽职尽责。定期查看NVD等在线漏洞数据库,以查找安全问题。安装更新,以降低风险。您也应该对闭源组件执行这些操作。
至于如何保护Jenkins安装,这里的答案不是我认为的正确格式,但是有一整套页面on their website专门用于该主题。
说完所有这些并查看Jenkins过去的漏洞,有很多。由您(以及您的安全部门)来评估您希望部署Jenkins的准确程度,以及那些过去的漏洞是否严重到足以让您认为整个工具不适合您的环境考虑到您的方式想要部署它。同样,它与使用封闭源工具的流程相同。