L'avvio di un amico ha implementato una serie di servizi business-critical su un server Hudson / Jenkins eseguito su un container Tomcat. Questo non è un progetto open source, infatti molti aspetti di questo progetto sono confidenziali. Jenkins è usato principalmente come mezzo per eseguire batch e amp; gthering deriva da quei lotti.
In qualche misura il sistema è stato bloccato, ad esempio è stato installato un plug-in che ha lo scopo di bloccare gli attacchi di induzione della password a forza bruta. Il sistema Jenkins è stato configurato per l'unica cosa che puoi vedere prima di accedere è una schermata di accesso, quindi questi utenti possono riconfigurare o eseguire qualsiasi cosa sul server Jenkins.
La domanda: questo sistema rappresenta una minaccia significativa per la sicurezza dell'azienda? Abbiamo preso tutte le misure di sicurezza pertinenti e ragionevoli.
Ad esempio, è possibile che qualche tipo di vulnerabilità ancora sconosciuta nello stack possa diventare la base di un exploit, ma quanto dovremmo preoccuparci di un rischio che è nel migliore dei casi non quantificabile, nel peggiore dei casi solo teorico?