Webhook安全

Question

我正在遵循以下指南：如何用Jenkins建立node.js应用程序的CI/CD管道

我已经在VPS上安装了Jenkins，我可以通过SSH隧道访问Web。然后我看到了这个：http://JENKINS.SERVER.IP:8080/github-webhook/

为了让GitHub与Jenkins进行通信，它在这样的URL上发出了POST请求。我已经看到了，我如何使用加密来颁发SSL证书，但是在我看来，这个解决方案并不是一个安全专家，它似乎是一个攻击的邀请。我想避免在公众中公开一个Web。

另一种选择是使用斯密，但是：

我应该在生产中使用这个吗？不是的！Smee不是为生产使用而设计的--它是一个开发和测试工具。请注意，通道没有经过身份验证，所以如果有人有您的通道ID，他们可以看到有效负载正在发送，因此它不安全的生产使用。

第三种选择是在VPS上安装Gitlab，并使用相应的插件：gitlab-钩子，但#安全-263：

以纯文本形式存储和显示的Gitlab API令牌使Gitlab web挂钩可用于触发Gitlab项目的SMC轮询。

第四种选择是在VPS上安装Gitlab，并使用GitLab本身的CI/CD (尚未尝试)，在我看来，这比其他三个选项更安全。

我说对了吗，第四种选择比其他的更好？我是不是遗漏了什么？是否还有其他选择来保证这样一个Webhook的安全？

Answer 1

GitHub有效负载可以是经验证。只要您正在验证所发布的有效负载并保持Jenkins的最新情况，您就应该会没事。

如果您需要额外的安全性，那么您可以将防火墙设置为只接受来自GitHub If的到该端口的连接。您可以通过GitHub API查找元数据 IP。