TallerCiCd

Objetivo Reducir superficie de ataque en Jenkins y evitar ejecución de código arbitrario desde ramas/PRs. Hardening aplicado (Jenkins) Segun issue #12:

Autorización por roles (mínimos privilegios).
Protecciones CSRF/XSS activadas.
Registro de usuarios desactivado (alta manual).
OAuth con Gitea. Los roles son definidos manualmente por usuario, por defecto un usuario de Gitea no tendrá permisos de ningún tipo sobre Jenkins.

Problema:

Si un PR modifica el Jenkinsfile y Jenkins lo ejecuta tal cual, el PR puede ejecutar código arbitrario en el agente/infra. Mitigación decidida (issue #12):
Multibranch pipeline para detectar ramas y poder setear estado de commit.
Remote Jenkinsfile Provider: el Jenkinsfile se toma de un repo/rama controlada (en este caso se toma de la rama main), no del PR. Ref concreta:
#12 (comment) Verificación:
Lanzar una PR que modifique Jenkinfile.ci
Revisar logs de Jenkins y confirmar que el Jenkinsfile usado corresponde a main (y no a la rama del PR).