Jira 功能 'JQL'(Jira 查询语言)是否对我的 Jira 安装的安全性构成威胁?

Is the Jira feature 'JQL' (Jira Query Language) a threat for the security of my Jira installation?

据我了解,JQL 在一个名为 'Advanced Search' 的功能中使用,用于挖掘存储在我的 Jira 数据库中的信息。它是一种类似于 SQL 的查询语言。

我可以编写(并在以后重复使用)包含完整 JQL 查询的 URL。示例:

https://[mysite.com]/issues/?jql=project%20%3D%20PVZ%20AND%20resolution%20%3D%20Unresolved%20ORDER%20BY%20priority%20DESC

即使我没有登录到该服务器,查询也会命中 (Jira) 服务器的数据库并返回有效答案。例如如果我针对由 Atlassian 提供支持的演示 Jija 发出上面的查询,答案是:

The value 'PVZ' does not exist for the field 'project'.

No issues were found to match your search. Try logging in to see more results

这是安全线程吗?如果我允许此功能,我是否会意外公开敏感(Jira 相关)信息? SQL-Injection 可以滥用 JQL 吗?我可以为未登录的用户禁用此功能吗?我应该为未登录的人禁用此功能吗?

如果您没有登录到服务器,您的查询将不会被执行,您将得不到任何结果。除非JIRA实例专门设置了允许匿名查看issue,比如jira.atlassian.com

JQL 是一种独立于 SQL 的语言,并且不会遭受我所知道的同类注入风险。

我建议阅读 JRIA 权限方案,尤其是浏览项目权限