具有 XXE 漏洞的 JMeter 性能插件。还有其他选择吗？答案

【问题标题】：JMeter performance plugin having XXE vulnerability. Any other alternatives?具有 XXE 漏洞的 JMeter 性能插件。还有其他选择吗？
【发布时间】：2022-07-20 15:36:52
【问题描述】：

JMeter 性能插件存在漏洞：https://plugins.jenkins.io/performance/ 所以目前使用这个插件并不安全(https://www.jenkins.io/security/advisory/2021-11-12/#SECURITY-2394)。

对于使用 Jenkins 的 JMeter 测试报告，还有其他替代方案吗？或者我们有任何其他解决方案来修复这个漏洞并且仍然使用这个性能插件吗？ Screenshot of Performance Plugin

【问题讨论】：

标签： security jenkins jmeter

【解决方案1】：

插件是open source，所以欢迎您通过pull request贡献修复

如果您是 BlazeMeter 客户，您可以通过 BlazeMeter Support 请求修复

【讨论】：

【解决方案2】：

该修复程序已在 repo 中，但新版本尚未构建并部署到 Jenkins。这是开源社区做不到的。

https://github.com/jenkinsci/performance-plugin/pull/205/commits/8f94845417cfa0089f5b1fea3a5b8d09d7f333d0

【讨论】：