Best practices for Bamboo security

システムを強化する最も優れた方法は、関連するシステムをそれぞれ個別に検討することです。適用が必要なセキュリティ ポリシーを確認するには、会社のセキュリティ担当者や部署に問い合わせてください。基本となるオペレーティング システム、アプリケーション サーバー、データベース サーバー、ネットワーク、ファイアウォール、ルーターの設定など、検討が必要な項目は数多くあります。その項目の概要を、すべてここで説明するのは難しいことです。

このページでは、優れたセキュリティ プラクティスに関するガイドラインを、当社が把握する範囲ですべてご紹介します。


Configuring the web server


Configuring the application server

アプリケーション サーバーのレベルに関する一般的なヒントは、次のシステム管理者ガイドを参照してください。

Configuring the application

The way you set up Bamboo roles, permissions and processes makes a big difference in the security of your Bamboo site.

Below are some more Bamboo-specific items to consider. None of these provides 100% security. They are measures to reduce impact and to slow down an intruder in case your system does become compromised.

  • Restrict the number of users with powerful roles or group memberships. If only one department should have access to particularly sensitive data, then do restrict access to the data to those users. Do not let convenience over-rule security. Do not give all staff access to sensitive data when there is no need.
  • 従業員が退社する場合の手順を文書化して整備します。
  • 定期的にセキュリティ監査を実行します。セキュリティ侵害が発生した場合に支援できる人を確認しておきます。「もしもの場合​​」を想定した計画演習を実行します。(「ユーザーの休暇中に特権パスワードが盗まれた場合、起こりうる最悪の事態は何か。被害を最小限に抑えるために何ができるか」など)。
  • Make sure the Bamboo database user (and all datasource database users) only has the amount of database privileges it really needs.
  • バイナリを監視します。攻撃者がシステムの 1 つアカウントに不正アクセスする場合、通常、他のアカウントにもアクセスしようとするものです。これを目的に、攻撃者がシステムのファイルを変更するなど、悪意のあるコードを追加する場合があります。ルーチン スクリプトを実行して、悪意のある変更が行われていないことを定期的に確認します。
  • Disable Bamboo from serving HTML and JavaScript artifacts. Allowing Bamboo to do this creates an XSS vulnerability where HTML and JavaScript artifacts can be executed on the user's browser. Go to Security settings (under 'Security') in the Bamboo admin area, and clear the Resolve artifacts content type by extension checkbox. Such artifacts will then be returned as plain text resources and the user's browser will handle them as simple text.
  • Bamboo Server share permissions and accesses rights with with local agents. Keep in mind that by using local agents in your environment, you’re giving other Bamboo users access to sensitive information you might be storing on the server.

Configuring system admin access

Below are some things to consider specifically related to the system admin role:

  • Keep the number of Bamboo administrators extremely low. For example, 3 system administrator accounts should be the maximum.
  • The administrators should have separate Bamboo accounts for their administrative roles and for their day to day roles. If John Doe is an administrator, he should have a regular user account without administrator access to do his day to day work (such as configuring build plans). This could be a 'john.doe' account. In addition, he should have an entirely separate account (that cannot be guessed by an outsider and that does not even use his proper name) for administrative work. This account could be 'jane smith' – using a username that is so obscure or fake that no outsider could guess it. This way, even if an attacker singles out the actual person John Doe and gets hold of his password, the stolen account would most likely be John's regular user account, and the attacker cannot perform administrative actions with that account.
  • Lock down administrative actions as much as you can. If there is no need for your administrators to perform administrative actions from outside the office, then lock down access to those actions to known IP adresses, for example. See Using Apache to limit access to the Confluence administration interface for guidance.

Further precautions


  • 上記の注意を要する項目を定期的に監視します。最初は順調に進んでいても、時間の経過とともに悪化する事柄は数多くあります。
    • A system may start out with just 3 administrators, but over the course of a year this could grow to 30 administrators if no one prevents expansion.
    • 年度の初めに Apache の管理制限事項を整備していたとしても、数か月後にアプリケーション サーバーが移行したとき、新しいシステムに規則を適用することを忘れてしまう可能性があります。


最終更新日: 2021 年 12 月 15 日


Powered by Confluence and Scroll Viewport.