问题概述
在 Jenkins Pipeline 中,如果直接在脚本中使用明文的敏感信息(比如密钥、证书等等),会降低程序的可移植性、安全性。
那么如何正确管理和使用凭证,以提高程序的安全性和可移植性,避免直接使用私密信息?
解决办法
安装 Credentials Binding 插件
简单实例
使用SSH私钥文件
withCredentials([file(credentialsId: 'secret', variable: 'FILE')]) { sh 'use $FILE' }
使用以冒号分隔的帐号密码
withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) { sh ''' set +x curl -u "$USERPASS" https://private.server/ > output ''' }
使用字符串类型密钥
withCredentials([string(credentialsId: “CRET-ID”, variable: "varName")]){ sh "echo $varName" }
获取用户名密码
withCredentials([usernamePassword(credentialsId: “CRET-ID”, usernameVariable: "username", passwordVariable: "password")]){ sh "echo $username $password" }
附加说明
关于获取变量
由withCredentials注入的“变量”(上述例子中的FILE与USERPASS变量),它们位于环境变量中的。这意味着在「Jenkinsfile」与「共享库」中,获取这些变量的方法不同:
在Jenkinsfile中,需要从''env''中获取。
而在共享库中,需要将当前Pipeline传入共享库,然后在从中获取env中的环境变量。这一点可以参考「[[SSH]]」一文中的示例。
注意事项:这也导致在某些场景下,需要对$符号转义。
安全性
虽然代码中使用了这些变量,但是在 Jenkins 的 Console Output 中,会隐藏密码信息。
相关链接
强烈建议阅读 Pipeline Steps Reference/Credentials Binding Plugin 手册,这里面列举了大多数凭证的使用方法与获取方法。
相关文章
「Jenkins Pipeline」- 配置多版本NodeJS构建环境
「Jenkins Pipeline」- 在构建过程中,提示用户输入
「Jenkins Pipeline」- 发送 HTTP 请求
「Jenkins Pipeline」- 发送 Slack 通知
「Jenkins Pipeline」- 常用 JSON 操作
「Jenkins Pipeline」- 常见问题处理
参考文献
Jenkins/Pipeline/Using a Jenkinsfile/Handling credentials
Pipeline Steps Reference/Credentials Binding Plugin
How to copy Jenkins secret file