Разработчики инструментария непрерывной интеграции Jenkins (http://www.jenkins-ci.org) представили (https://jenkins.io/blog/2017/10/11/security-updates/) корректирующие выпуски 2.84 и 2.73.2, в который устранено 7 уязвимостей (http://seclists.org/oss-sec/2017/q4/59). Кроме того, выпущены новые версии плагинов для интеграции с Swarm и Maven, в которых также устранены уязвимости (https://jenkins.io/security/advisory/2017-10-11/). Уязвимость выявлена и в плагине Speaks, но из-за отсутствия исправления данный плагин рекомендован к удалению.
Наиболее опасная проблема в Jenkins позволяет злоумышленнику с правами агента выполнить произвольные shell-команды на master-сервере. Уязвимость в плагине Speaks позволяет выполнить код в Jenkins JVM, при наличии полномочий создание или настройки заданий, независимо от наличия прав на их запуск. Остальные проблемы связаны с утечкой информации или инициированием отказа в обслуживании.URL: https://jenkins.io/blog/2017/10/11/security-updates/
Новость: http://www.opennet.ru/opennews/art.shtml?num=47373
Сколько помню, агент-мастер соединение всегда было дырявым. Не могут WINдузятные пчёлы осилить вменяемую политику безопасности.
Хипстота должна страдать.
Альтернативные способы автоматизации сборки и тестирования в студию
Заход красивый, но бесполеный. Ответа не будет. т.к. думающие чужими лозунгами себе не принадлежат.
BamBoo, GoCD, CruiseControl, TeamCity, etc.
Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не работал. Нужен вброс полезной инфы от тех кто работал с другими в прод.
Инструмент выбирается под задачу. Напишите, чем Вы не довольны в Jenkins, попробуем порешать их или посоветуем, куда смотреть.Вот тут советуют TeamCity как замена Jenkins, но вот для моих задач они оказались равноценны (вопрос проприетарности даже не рассматривался).
> Я серьёзно, я терпеть не могу Jenkins, но с альтернативами пока не
> работал. Нужен вброс полезной инфы от тех кто работал с другими
> в прод.В GitLab встроили свой CI движок. Довольно удобен для сборки по коммиту и задач CI.
Для построения CI/CD цепочки лучше смотреть на выделенные сервера типа Jenkins, etc.
> Нужен вброс полезной инфы от тех кто работал с другими в прод.ок, открывайте блокнотик, берите красную ручку, записывайте: CruiseControl - чудовищное, феерическое жабье дерьмо.
Стоит разок поставить для какого-нибудь большого проекта только ради того, чтобы искренне полюбить jenkins.
> BamBoo, GoCD, CruiseControl, TeamCity, etc.во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?
Вообще-то платность становится препятствием только для гордых админов локалхоста. Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.
Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что ты сэкономишь, тебе в бонусы пойдёт. А у прогеров локалхоста вообще CI нет, см реплики Led
> Слова не мальчика, но винтика из бездуховной кодерской конторы. В средних что
> ты сэкономишь, тебе в бонусы пойдёт.Серьезно? Куды резюм присылать? (ух я вам понаэкономлю! А что с этим работать будет нельзя - меня, после получения бонусов, никалебет)
> Вообще-то платность становится препятствием только для гордых админов локалхоста.расскажите это пользователям венды, а то они не в курсе :D
> Если люди заняты делом (и зарабатывают на нем деньги), то платность рабочего инструмента никого никогда не останавливала.
верно, но платность не исключает наличие уязвимостей, от слова совсем
> во-первых тут большинство платное. Во-вторых вы думаете в них не находят уязвимости?за тим не скажу, а в круизе наверняка не находят - потому что не ищут, чего время-то тратить, оно ж насквозь гнилое все. Если у кого-то он untrusted код гоняет, то не надо искать уязвимости, надо листок с паролем у него от монитора отклеить. Пусть-ка помучается, 123 там было или qaz ;-)