我正在使用通用的Webhook触发器插件与Bitbucket回购。触发器使用令牌如下:
http://jenkins_url/generic-webhook-trigger/invoke?token=SOME_TOKEN
我以为使用令牌凭证可以解决这个问题。结果不是这样的。它就像普通的令牌一样。我不明白的是为什么这里没有实施安全措施。任何人都可以使用那个链接来触发。这是不能修复的吗?
lg40wkob1#
接收到指定的HTTP POST请求时,Jenkins通用Webhook触发器插件使您能够启动Jenkins构建。默认情况下,该插件没有任何针对请求授权或验证的安全保护措施。这意味着对指定URL发出的任何HTTP POST请求都将启动Jenkins构建。您可以使用以下方法之一来保护Jenkins webhook:
请记住,为Jenkins webhook添加安全保护措施有助于防止误用和非法访问,但也会使您的设置更加困难。彻底评估系统的安全要求并为Jenkins示例选择适当的保护措施至关重要。
1条答案
按热度按时间lg40wkob1#
接收到指定的HTTP POST请求时,Jenkins通用Webhook触发器插件使您能够启动Jenkins构建。默认情况下,该插件没有任何针对请求授权或验证的安全保护措施。这意味着对指定URL发出的任何HTTP POST请求都将启动Jenkins构建。
您可以使用以下方法之一来保护Jenkins webhook:
请记住,为Jenkins webhook添加安全保护措施有助于防止误用和非法访问,但也会使您的设置更加困难。彻底评估系统的安全要求并为Jenkins示例选择适当的保护措施至关重要。