编辑“︁Jenkins安全最佳实践”︁（章节）

== 关键安全措施 ==

=== 1. 认证与授权 ===

Jenkins提供多种认证机制：

<syntaxhighlight lang="groovy">
// 示例：在Jenkinsfile中限制特定用户的权限
properties([
    authorizationMatrix([
        'hudson.model.Item.Read:authenticated',
        'hudson.model.Item.Build:developer-group',
        'hudson.model.Item.Configure:admin-group'
    ])
])
</syntaxhighlight>

常见授权策略：
* '''基于矩阵的权限'''：细粒度控制每个用户的权限
* '''项目矩阵授权策略'''：针对特定项目设置权限
* '''Role-Based Strategy插件'''：实现基于角色的访问控制(RBAC)

=== 2. 安全配置加固 ===

关键配置项：
* 启用CSRF防护（默认已启用）
* 限制Jenkins CLI访问
* 配置安全的JVM参数

<syntaxhighlight lang="bash">
# 安全JVM参数示例
JAVA_OPTS="-Djenkins.install.runSetupWizard=false -Djava.awt.headless=true -Dhudson.model.DirectoryBrowserSupport.CSP=\"sandbox allow-same-origin allow-scripts; default-src 'self';\""
</syntaxhighlight>

=== 3. 插件安全管理 ===

插件安全准则：
* 仅从官方更新中心安装插件
* 定期审查和更新插件
* 移除不再使用的插件

使用以下命令检查插件漏洞：
<syntaxhighlight lang="bash">
# 列出已安装插件及其版本
java -jar jenkins-cli.jar -s http://your-jenkins-server/ list-plugins
</syntaxhighlight>

=== 4. 流水线安全 ===

安全流水线实践：
* 避免在流水线中硬编码凭据
* 使用Jenkins凭据存储
* 限制脚本式流水线的使用

<mermaid>
graph TD
    A[流水线启动] --> B{检查权限}
    B -->|有权限| C[执行构建]
    B -->|无权限| D[拒绝并记录]
    C --> E[使用安全凭据]
    E --> F[执行安全步骤]
</mermaid>

=== 5. 网络与系统安全 ===

* 将Jenkins部署在内网或使用VPN访问
* 配置HTTPS加密通信
* 使用防火墙限制访问IP
* 定期备份JENKINS_HOME目录