Jenkins是一套被廣泛使用的開源自動化伺服器，讓 DevOps 開發人員可以有效率且可靠地建構、測試和部署軟體。為了讓 Jenkins 的模組化架構發揮最大作用，開發人員會用外掛程式來擴充核心功能，好擴展建構時的腳本功能。在本文撰寫時，Jenkins的外掛程式索引裡有超過1,600個社群貢獻的外掛程式。其中有些外掛程式會儲存未加密的純文字帳密。一旦發生資料外洩，網路犯罪分子就可能在組織不知情下取得這些資料。

Jenkins在7月11日和8月7日發布了資安通報，其中就包括了用純文字儲存帳密的問題。我們會在本文裡討論此漏洞會怎麼被利用以及受到影響的外掛程式：

表1. Jenkins外掛程式出現的洩密漏洞

2019 年專為躲避傳統防護而設計的隱匿威脅，為資安防禦帶來了終極考驗

【2019年9月5日】全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 今日發表 2019 上半年資安總評報告，指出藉由無檔案方式來隱藏惡意活動的無檔案式攻擊數量突然暴增。光此一類別的威脅偵測數量就較 2018 上半年成長 265%。

截至目前為止，有多項 2019 年數據皆印證了趨勢科技去年的預測：駭客會越來越聰明，而且專挑投資報酬最大的企業及環境下手。

趨勢科技全球威脅通訊總監 Jon Clay 表示：「隨著商業技術與網路犯罪攻擊日益仰賴網路和智慧化，精密、隱匿的攻擊已成為今日網路資安威脅的主流。我們看到駭客處心積慮地利用針對性精密威脅來攻擊企業人員、流程及技術上的弱點。然而，企業的數位轉型與雲端移轉卻正不斷擴大與改變企業的受攻擊面。為了因應這樣的情勢演變，企業需要一家能夠結合專家與進階資安技術的資安夥伴來提升其偵測、交叉關聯、回應及矯正威脅的能力。」