L’événement Jenkins World, qui s’est tenu mi-Octobre à Nice, souligne le succès de cette technologie au sein des équipes informatiques. Une attractivité qui s’explique en partie par le nombre de plugins disponibles - plus de 1 600 sur le site web officiel, sans compter tous les autres disponibles sur internet ; les possibilités d'automatisation sont donc infinies. Ces plugins, ou points d’extension, assurent l’agilité de Jenkins et améliorent également les performances ainsi que l’ergonomie des services informatiques.

Comprendre les plugins et leurs bénéfices

En termes simples, le plugin est un composant logiciel qui ajoute une fonctionnalité spécifique à un programme informatique existant. Il est ainsi utilisé pour intégrer différents outils, notamment pour contrôler les versions, effectuer des tests automatisés et de qualité du code. De plus, les utilisateurs sont à même d’ajouter de manière sélective les fonctionnalités qu’ils souhaitent, pour ne pas s’encombrer de celles dont ils n’ont pas besoin.

Un plugin Jenkins est un simple fichier .hpi compressé qui est « injecté » dans le logiciel principal Jenkins à l’aide d’un connecteur spécial, ou d’un point d’extension sur le plugin existant. Une fois injecté, ce dernier devient une partie intégrante du noyau Jenkins, capable d’exécuter toutes les tâches que ce dernier effectue telles que le code, la mise en ligne et le téléchargement depuis internet, ou encore la lecture et le déchiffrement des identifiants stockés.

Il existe actuellement plus de 140 points d’extension différents dans le noyau Jenkins, et bien d’autres dans les plugins. C'est idéal pour les développeurs qui ont besoin de nouvelles ressources rapidement : si une nouvelle fonctionnalité est requise dans Jenkins, il suffit d’en écrire le code Java et de le connecter au point d'extension approprié. Cependant, la plupart des plugins Jenkins sont écrits par des tiers, et la qualité de leurs contributions en termes de sécurité varie considérablement. Ils peuvent en outre ne plus être gérés sans préavis, ce qui signifie qu’en cas de détection d’un problème de sécurité, il arrive que personne ne puisse le corriger.

Bonnes pratiques pour renforcer la sécurité

Les plugins sont aujourd’hui des outils clés et il est difficile d’imaginer Jenkins sans eux. Cependant, s’ils ne sont pas gérés étroitement, ils peuvent introduire des cyber-vulnérabilités. Ils sont de plus faciles à coder et à installer, tant pour les utilisateurs légitimes que les personnes malveillantes. Ces points d’extension sont en effet souvent développés par des tiers qui ne maitrisent pas toujours les principes de cybersécurité, et ils peuvent ne pas être supervisés à la suite de leur création.

Plusieurs pratiques de précaution existent pourtant, pour que ces points d’extensions n’exposent pas une entreprise à des risques inutiles :

1.      Faire preuve de prudence : il est fortement recommandé de ne pas télécharger de plugins provenant de sources autres que le site officiel de Jenkins ;
 
2.      Mettre régulièrement à jour les plug-ins : les problèmes de sécurité sont récurrents mais les patchs sont réguliers. Les utilisateurs sont donc invités à effectuer les mises à jour dès qu’elles sont disponibles, afin de protéger leurs appareils, et plus largement les réseaux sur lesquels ils opèrent.
 
3.      Protéger le répertoire principal de Jenkins : compte tenu du grand nombre de plugins, il est extrêmement difficile pour les administrateurs de contrôler l’authenticité des fichiers présents sur le répertoire de leurs entreprises – où sont stockés les fichiers sources. Or, si des cybercriminels y ont accès, ils peuvent écrire ou modifier le code en toute impunité. C’est pourquoi le répertoire doit être surveillé étroitement ;
 
4.      Vérifier chaque code source avant l'installation : tous les codes sources des plugins Jenkins sont disponibles publiquement sur GitHub ; il est donc conseillé de s’assurer qu’ils ne contiennent pas de vulnérabilités avant de les déployer.

Les plugins de Jenkins offrent une agilité et des performances sans précédent. Cependant, ces qualités s’accompagnent aussi d’un défaut, et non des moindres : leur cyber-vulnérabilité. Alors que les attaques se multiplient, les entreprises tentent actuellement de sécuriser leurs réseaux et informations sensibles. Ces points d’extension font donc partie des ressources à protéger et à surveiller étroitement, afin que l’opportunité qu’ils représentent pour les organisations ne soit pas -in fine - plus fructueuse pour les cybercriminels.