Añadir Seguridad
19
Seguridad.md
Normal file
19
Seguridad.md
Normal file
@@ -0,0 +1,19 @@
|
||||
Objetivo
|
||||
Reducir superficie de ataque en Jenkins y evitar ejecución de código arbitrario desde ramas/PRs.
|
||||
Hardening aplicado (Jenkins)
|
||||
Segun issue #12:
|
||||
- Autorización por roles (mínimos privilegios).
|
||||
- Protecciones CSRF/XSS activadas.
|
||||
- Registro de usuarios desactivado (alta manual).
|
||||
- OAuth con Gitea. Los roles son definidos manualmente por usuario, por defecto un usuario de Gitea no tendrá permisos de ningún tipo sobre Jenkins.
|
||||
|
||||
Problema:
|
||||
- Si un PR modifica el Jenkinsfile y Jenkins lo ejecuta tal cual, el PR puede ejecutar código arbitrario en el agente/infra.
|
||||
Mitigación decidida (issue #12):
|
||||
- Multibranch pipeline para detectar ramas y poder setear estado de commit.
|
||||
- Remote Jenkinsfile Provider: el Jenkinsfile se toma de un repo/rama controlada (en este caso se toma de la rama `main`), no del PR.
|
||||
Ref concreta:
|
||||
- https://openbokeron.uma.es/gitea/OpenBokeron/TallerCiCd/issues/12#issuecomment-483
|
||||
Verificación:
|
||||
- Lanzar una PR que modifique `Jenkinfile.ci`
|
||||
- Revisar logs de Jenkins y confirmar que el Jenkinsfile usado corresponde a `main` (y no a la rama del PR).
|
||||
Reference in New Issue
Block a user