CruiseControl.NET est-il un risque de sécurité pour les projets Open Source?

Question

J'apprends à propos de CruiseControl.NET pour implémenter l'intégration continue dans mon projet open source. Il semblerait que CruiseControl.NET devra fonctionner sur mon ordinateur personnel, et il va construire et exécuter de nouvelles révisions automatiquement et immédiatement! Il ne semble pas qu'il faille un scientifique spécialiste des fusées pour pirater un serveur CruiseControl.NET. Est-il dangereux à utiliser, ou existe-t-il des méthodes pour le sécuriser? Par exemple, un super bac à sable.

Answer 1

Généralement, vous pouvez configurer une branche maîtresse à laquelle vous avez autorisé l'accès et fusionner les modifications dans cette branche par rapport aux autres, de sorte que vous puissiez vérifier le code avant de valider. Donnez ensuite aux membres approuvés l'accès à cette branche pour déléguer l'examen du code avant qu'il n'atteigne votre branche testing.

Vous pouvez probablement (en fonction de l'environnement d'exécution) également mettre en place une prison d'exécution pour empêcher le code malveillant d'accéder aux ressources restreintes. En outre, l'exécution de tests en tant qu'utilisateur restreint aide. Donc, ma réponse serait non, si vous comprenez ce qui se passe et pouvez atténuer ces risques.