Añadir Seguridad
19
Seguridad.md
Normal file
19
Seguridad.md
Normal file
@@ -0,0 +1,19 @@
|
|||||||
|
Objetivo
|
||||||
|
Reducir superficie de ataque en Jenkins y evitar ejecución de código arbitrario desde ramas/PRs.
|
||||||
|
Hardening aplicado (Jenkins)
|
||||||
|
Segun issue #12:
|
||||||
|
- Autorización por roles (mínimos privilegios).
|
||||||
|
- Protecciones CSRF/XSS activadas.
|
||||||
|
- Registro de usuarios desactivado (alta manual).
|
||||||
|
- OAuth con Gitea. Los roles son definidos manualmente por usuario, por defecto un usuario de Gitea no tendrá permisos de ningún tipo sobre Jenkins.
|
||||||
|
|
||||||
|
Problema:
|
||||||
|
- Si un PR modifica el Jenkinsfile y Jenkins lo ejecuta tal cual, el PR puede ejecutar código arbitrario en el agente/infra.
|
||||||
|
Mitigación decidida (issue #12):
|
||||||
|
- Multibranch pipeline para detectar ramas y poder setear estado de commit.
|
||||||
|
- Remote Jenkinsfile Provider: el Jenkinsfile se toma de un repo/rama controlada (en este caso se toma de la rama `main`), no del PR.
|
||||||
|
Ref concreta:
|
||||||
|
- https://openbokeron.uma.es/gitea/OpenBokeron/TallerCiCd/issues/12#issuecomment-483
|
||||||
|
Verificación:
|
||||||
|
- Lanzar una PR que modifique `Jenkinfile.ci`
|
||||||
|
- Revisar logs de Jenkins y confirmar que el Jenkinsfile usado corresponde a `main` (y no a la rama del PR).
|
||||||
Reference in New Issue
Block a user