我喜欢使用Jenkinsfiles和shared-libraries来获得好处,但是我对执行任意Jenkinsfiles(以及潜在使用范围广泛的凭证)有一些管理方面的担忧。
我认为锁定credentials以便由特定的共享库使用以强制使用模式会很方便(与此同时,我认为完全有可能有更好的方法来处理问题空间),所以我只是想了解这个空间中的任何想法/指导。
答案 0 :(得分:0)
不确定我们的解决方案是否对您有用。
我们有一个共享库;审查并锁定,因此不仅任何人都可以对其进行更改。我们将该库附加到Jenkins上的两个单独的文件夹中。
在一个文件夹中,我们的用户拥有自己的基于个人或团队的文件夹,并且可以在该空间中创建作业和凭证。这个大文件夹上没有共享的凭据,团队之间也不会共享凭据。
还有第二个文件夹,所有用户/团队都不具有编辑权限,但可以执行现有作业。该文件夹中没有基于Jenkinsfile的基于SCM的作业,可以在其中通过SCM修改作业。此文件夹上具有“锁定”的凭据,这些凭据不打算共享或访问。用户/团队可以编辑其作业(在其文件夹中)以调用这些作业-但他们无法编辑这些受保护的作业来访问凭据。
在某种程度上很尴尬。但这保留了用户和他们不应该访问的凭据之间的鸿沟。