作为安全项目一部分,我希望编写一个自动化程序,以确保没有针对Jenkins中安装的插件发布的活动警告/漏洞。有没有办法获得Jenkins针对已安装插件发布的漏洞列表?我试图弄清楚“Manage Jenkins”页面如何显示插件警告,并发现它正在针对“/administrativeMonitor/”运行POST我们能以某种方式利用它吗?
ecfdbz9o1#
使用groovy:获取活动插件警告。
9wbgstp72#
是的,Jenkins插件管理器应该只需要一个简单的命令就可以解决您的问题
java -jar jenkins-plugin-manager-*.jar --war /your/path/to/jenkins.war --plugins delivery-pipeline-plugin:1.3.2 deployit-plugin --view-security-warnings
这里**--view-security-warnings**发挥了作用,并给出了带有警告/漏洞的插件列表。https://github.com/jenkinsci/plugin-installation-manager-tool
cwxwcias3#
要扩展@ian-w的答案,可以在Jenkins groovy控制台中运行以下命令:
import jenkins.security.* ExtensionList.lookupSingleton(UpdateSiteWarningsMonitor.class).getActivePluginWarningsByPlugin().each { key, value -> println "$key.shortName: ${value.collect{ it.message }.join('; ')}" } return ""
3条答案
按热度按时间ecfdbz9o1#
使用groovy:获取活动插件警告。
9wbgstp72#
是的,Jenkins插件管理器应该只需要一个简单的命令就可以解决您的问题
这里**--view-security-warnings**发挥了作用,并给出了带有警告/漏洞的插件列表。
https://github.com/jenkinsci/plugin-installation-manager-tool
cwxwcias3#
要扩展@ian-w的答案,可以在Jenkins groovy控制台中运行以下命令: