我们正在使用Jenkins进行各种工作,包括构建和测试,不同的开发人员只能访问其范围内的工作。
但是,当我们允许Jenkins用户“配置”作业时,我们基本上允许他们使用运行Jenkins二进制文件的用户的权限运行shell(通过“执行shell”步骤)。反过来,这提供了理论上的能力来改变服务器上的东西并访问它们不应该的文件。
问题:我们如何控制?
基本上,我正在寻找一种方法来禁用用户编辑特定版本(或完全)的现有shell字段的能力。
答案 0 :(得分:2)
作为我未经过亲自测试的解决方法,您可以在全局设置中覆盖Jenkins使用的sh可执行文件,但随后每个人都无法使用"执行Shell"。
然后,您可以让一些程序员为您允许的操作编写插件。
答案 1 :(得分:0)
我们最终实现的解决方案是主从串联,其中主节点的执行程序数设置为0.