我已经检查了许多有关该问题的建议,但没有找到合适的解决方案。
最初我的管道代码运行良好,但有 Jenkins 安全警告检测到的以下步骤可能对敏感变量进行了不安全的插值。 sh:[通过,用户]
我的代码如下:
withCredentials([usernamePassword(credentialsId: 'Jenkins-Nexus-tech', passwordVariable: 'pass', usernameVariable: 'user')]){
sh "wget --user=$user --password=$pass 'https://nexus.mycompany.io/repository/updated-maven-releases/com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war' "
}
警告:
[Pipeline] sh
Warning: A secret was passed to "sh" using Groovy String interpolation, which is insecure.
Affected argument(s) used the following variable(s): [pass, user]
See https://jenkins.io/redirect/groovy-string-interpolation for details.
为了避免 https://www.jenkins.io/doc/book/pipeline/jenkinsfile/#interpolation-of-sensitive-environment-variables 中建议的 Jenkins 安全警告,我修改了我的代码如下。但是对于单引号和双引号的不同排列和组合,它不起作用。它抛出错误替换错误:
withCredentials([usernamePassword(credentialsId: 'Jenkins-Nexus-tech', passwordVariable: 'pass', usernameVariable: 'user')]){
sh 'wget --user=$user --password=$pass \"https://nexus.mycompany.io/repository/updated-maven-releases/com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war\" '
}
我尝试了 3 个单引号。有了这个,我没有收到警告,但无法替换 wget URL 中的变量:
withCredentials([usernamePassword(credentialsId: 'Jenkins-Nexus-tech', passwordVariable: 'pass', usernameVariable: 'user')]){
sh '''wget --user=$user --password=$pass 'https://nexus.mycompany.io/repository/updated-maven-releases/com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war' '''
}
错误如下,因为它不能替换变量的值
[Pipeline] sh
+ wget --user=**** --password=**** https://nexus.mycompany.io/repository/updated-maven-releases/com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war
HTTP request sent, awaiting response... 404 com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war
ERROR 404: com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war.
如果有人能在这里提供帮助,那就太好了。
答案 0 :(得分:0)
page you mention 中概述的建议建议您不要使用 Groovy string interpolation 将敏感数据传递给 sh
步骤。建议是让 sh
脚本从环境中获取值。
但是,在您的情况下,您仍然需要 params.AuthorizationServerVersion
步骤中 sh
中保存的值。
Groovy 字符串插值仅在字符串位于双引号内时使用。当字符串在单引号中时,字符串插值被关闭。
当字符串包含在双引号中时,您可以使用反斜杠转义 $
。这将防止在您不希望发生这种情况时将变量的内容插入到字符串中。
然后,您可以做的是使用双引号,对要从环境中读取的变量上的 $
进行转义,并使 $
在您要从环境中读取的变量上保持未转义想要直接从您的 Groovy 代码访问。
示例,使用 withCredentials
plugin:
withCredentials([string(credentialsId: 'mytoken', variable: 'THE_TOKEN')]) {
sh "some_command --that-uses \$THE_TOKEN --as-an-environment-variable --and-also-uses $params.A_PARAMETER"
}
此处,令牌作为秘密注入到环境中,并通过转义 sh
在 $
脚本中使用。这意味着实际的 Unix shell(bash、zsh 或其他)将获得文字 $
并按照该 shell 语言的指定对其进行扩展。
$
的 $params.A_PARAMETER
没有转义,并且在双引号内,因此 Groovy 将执行字符串插值并在运行时将 $params.A_PARAMETER
替换为参数的值,因为字符串是在将字符串作为参数传递给 sh
步骤之前,在内存中构造。
在您的具体情况下,这是您可以使用的(当然在您的 withCredentials
块内):
sh "wget --user=\$user --password=\$pass 'https://nexus.mycompany.io/repository/updated-maven-releases/com/mycompany/project/authorization-server/${params.AuthorizationServerVersion}/authorization-server-${params.AuthorizationServerVersion}.war'"
请注意,$
和 $user
上的 $pass
已转义,但 $
上的 ${params.AuthorizationServerVersion}
未转义。