如何使用外部CyberArk保险库在免费版Jenkins中存储凭证?
Here您可以找到有关标准jenkins凭据插件的信息 - 它为外部存储提供API
但是在网上挖了一段时间后,我发现:
1. Cyberark vault is available on Cloudbees Jenkins only
2. HarshiCorp vault plugin is available for free
3. Here是一个很好的例子,错误的权限策略如何导致公开所有凭据。我试了一下,就像魔术一样! :)
答案 0 :(得分:1)
你真的不想在Jenkins中存储凭证(或任何敏感的秘密)。它不是一个金库,不应该被用作一个金库。否则,您最终会将Jenkins服务器成为攻击者的主要目标。
相反,集成您的Jenkins管道,仅在需要时将安全信息安全地提取到执行程序中,并在构建/测试作业完成时丢弃。这可以通过Summon轻松完成,它已与许多保险库集成,包括Conjur(也是CyberArk产品)。两者都是开源产品。
This blog post描述了一种根据我上面描述的方法将Jenkins与保险库集成的方法。
答案 1 :(得分:0)
您可能需要查看https://github.com/tmobile/t-vault。 这将消除管理策略的需要。您可以在jenkins中为每个项目文件夹或作业创建一个安全的文件。
您可以创建批准并授予对安全的访问权限。每个项目都可以使用相应的批准。您也可以向保险箱授予个人访问权限。然后,用户可以使用webui创作和更新秘密。
答案 2 :(得分:0)
似乎CyberArk发布了支持该方案的Jenkins插件: https://docs.cyberark.com/Product-Doc/OnlineHelp/AAM-DAP/Latest/en/Content/Integrations/jenkins.htm