「Jenkins Pipeline」- 凭证的处理

更新日期:2019年10月28日

内容简介

本文将介绍在Jenkins Pipeline中,如何正确管理和使用凭证以提高程序的安全性和可移植性,避免直接使用私密信息。

问题概述

在Jenkins Pipeline中,密钥、口令、凭证等等都是敏感信息,我们不应该直接在脚本中使用明文。使用命令会降低程序的可移植性,安全性。

解决办法


# 第一步、安装插件

安装插件:「Credentials Binding

# 使用SSH私钥文件

withCredentials([file(credentialsId: 'secret', variable: 'FILE')]) {
    sh 'use $FILE'
}

# 使用以冒号分隔的帐号密码

withCredentials([usernameColonPassword(credentialsId: 'mylogin', variable: 'USERPASS')]) {
	sh '''
	  set +x
	  curl -u "$USERPASS" https://private.server/ > output
	'''
}

# 使用字符串类型密钥

withCredentials([string(credentialsId: “CRET-ID”, variable: "varName")]){
    sh "echo $varName"
}

# 获取用户名密码

withCredentials([usernamePassword(credentialsId: “CRET-ID”, usernameVariable: "username", passwordVariable: "password")]){
    sh "echo $username $password"
}

附加说明


# 关于获取变量

withCredentials注入的“变量”(上述例子中的FILEUSERPASS变量),它们位于环境变量中的。这意味着在「Jenkinsfile」与「共享库」中,获取这些变量的方法不同:

在Jenkinsfile中,需要从env中获取。

而在共享库中,需要将当前Pipeline传入共享库,然后在从中获取env中的环境变量。这一点可以参考「SSH」一文中的示例。

!!!这也导致:在某些场景下,需要对$符号转义。

# 安全性

虽然代码中使用了这些变量,但是Jenkins在最后的Console Output中,会隐藏密码信息。

相关链接

强烈建议阅读「Pipeline Steps Reference/Credentials Binding Plugin」手册,这里面列举了大多数凭证的使用方法与获取方法。

参考文献


ToC

内容简介

问题概述

解决办法

# 第一步、安装插件

# 使用SSH私钥文件

# 使用以冒号分隔的帐号密码

# 使用字符串类型密钥

# 获取用户名密码

附加说明

# 关于获取变量

# 安全性

相关链接

参考文献