Конференция для инженеров и всех, кто должен понимать инженеров

Hardening Jenkins: как подать блюдо, чтобы оставили чаевые

Безопасность, DevSecOps

Непрерывное развертывание и деплой
Атаки
Безопасность
Безопасность инфраструктуры

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Вы должны послушать этот доклад, если у вас jenkins. Докладчик подсветит все возможные проблемы с безопасностью, и после этого доклада у вас будет чёткое понимание того, на что вам нужно обратить внимание в ваших инсталляциях.

Целевая аудитория

DevOps-инженеры, DevSecOps-инженеры и все, кто работал или собирается работать с Jenkins.

Тезисы

Пайплайн — это блюдо, которое подается в холодном виде. Привнося в свою систему такой CI/CD-сервер, как Jenkins, мы не только добавляем гибкий и удобный Open Source-продукт с большим сообществом и безграничными возможностями по его настройке, но также размещаем большое количество «черных дыр» в нашей системе, позволяющих злоумышленникам проводить через них атаки на инфраструктуру. А ряд популярных плагинов лишь увеличивает уязвимость системы перед лицом врага. Настало время это исправить! Цель этого доклада — показать приемы усиления безопасности и выстраивания безопасной разработки с использованием Jenkins.

В докладе мы рассмотрим:
* что такое Jenkins и какая экосистема есть вокруг него,
* уязвимости Jenkins Core — основного ядра системы,
* уязвимости в популярных плагинах,
* какие практики с использованием Jenkins актуальны, а какими лучше не пользоваться,
* решения, позволяющие повысить безопасность Jenkins и закрыть часть уязвимостей.

DevOps-инженер, работал над проектом «Госуслуги», вел разработку брокерской платформы, сейчас руководитель команд разработки сервисов ИБ в Wildberries. За плечами три года игры в CTF в составе команды ONO из топ-10 по стране. Соорганизатор VrnCTF — соревнований по информационной безопасности на базе ФГБОУ ВО «Воронежский государственный университет». Разработчик факультативных DevOps-курсов для факультета компьютерных наук ВГУ, автор магистерского курса DevOps для направлений МКН и программной инженерии. Соорганизатор Летней Школы CTF. Соавтор магистратуры DevOps в ИТМО.

Wildberries

Wildberries — онлайн-платформа с 20-летней историей, где представлен широкий ассортимент продукции российских и международных брендов. География присутствия площадки охватывает 7 стран. Ежедневно покупателям отправляется свыше 10 млн товаров, а сеть пунктов выдачи заказов превышает 38 000 точек.

Видео