From 2449b31d4b4c524b88bc9c3402844cb11e8a0dd1 Mon Sep 17 00:00:00 2001 From: husbando_enjoyer Date: Sun, 18 Jan 2026 17:40:43 +0100 Subject: [PATCH] =?UTF-8?q?A=C3=B1adir=20Seguridad?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- Seguridad.md | 19 +++++++++++++++++++ 1 file changed, 19 insertions(+) create mode 100644 Seguridad.md diff --git a/Seguridad.md b/Seguridad.md new file mode 100644 index 0000000..b793a63 --- /dev/null +++ b/Seguridad.md @@ -0,0 +1,19 @@ +Objetivo +Reducir superficie de ataque en Jenkins y evitar ejecución de código arbitrario desde ramas/PRs. + Hardening aplicado (Jenkins) +Segun issue #12: +- Autorización por roles (mínimos privilegios). +- Protecciones CSRF/XSS activadas. +- Registro de usuarios desactivado (alta manual). +- OAuth con Gitea. Los roles son definidos manualmente por usuario, por defecto un usuario de Gitea no tendrá permisos de ningún tipo sobre Jenkins. + +Problema: +- Si un PR modifica el Jenkinsfile y Jenkins lo ejecuta tal cual, el PR puede ejecutar código arbitrario en el agente/infra. +Mitigación decidida (issue #12): +- Multibranch pipeline para detectar ramas y poder setear estado de commit. +- Remote Jenkinsfile Provider: el Jenkinsfile se toma de un repo/rama controlada (en este caso se toma de la rama `main`), no del PR. +Ref concreta: +- https://openbokeron.uma.es/gitea/OpenBokeron/TallerCiCd/issues/12#issuecomment-483 +Verificación: +- Lanzar una PR que modifique `Jenkinfile.ci` +- Revisar logs de Jenkins y confirmar que el Jenkinsfile usado corresponde a `main` (y no a la rama del PR). \ No newline at end of file