有没有办法得到一个列表安装的Jenkins插件与漏洞?

z9zf31ra  于 2022-12-11  发布在  Jenkins
关注(0)|答案(3)|浏览(146)

作为安全项目一部分,我希望编写一个自动化程序,以确保没有针对Jenkins中安装的插件发布的活动警告/漏洞。有没有办法获得Jenkins针对已安装插件发布的漏洞列表?我试图弄清楚“Manage Jenkins”页面如何显示插件警告,并发现它正在针对“/administrativeMonitor/”运行POST我们能以某种方式利用它吗?

ecfdbz9o

ecfdbz9o1#

使用groovy:获取活动插件警告。

9wbgstp7

9wbgstp72#

是的,Jenkins插件管理器应该只需要一个简单的命令就可以解决您的问题

java -jar jenkins-plugin-manager-*.jar --war /your/path/to/jenkins.war --plugins delivery-pipeline-plugin:1.3.2 deployit-plugin --view-security-warnings

这里**--view-security-warnings**发挥了作用,并给出了带有警告/漏洞的插件列表。
https://github.com/jenkinsci/plugin-installation-manager-tool

cwxwcias

cwxwcias3#

要扩展@ian-w的答案,可以在Jenkins groovy控制台中运行以下命令:

import jenkins.security.*
ExtensionList.lookupSingleton(UpdateSiteWarningsMonitor.class).getActivePluginWarningsByPlugin().each { key, value ->
   println "$key.shortName: ${value.collect{ it.message }.join('; ')}"
}
return ""

相关问题