如何使用外部CyberArk保险库在免费版Jenkins中存储凭据? Here你可以找到有关标准jenkins凭证插件的信息 - 它提供了一个外部存储API。 但经过网上挖掘一段时间后,我发现: 1. Cyberark vault is available on Cloudbees Jenkins only 2. HarshiCorp vault plugin is available for free 3. Here是一个很好的例子,错误的权限策略如何导致暴露所有凭据。我试了一下,就像魔术一样! :)
你真的不想在Jenkins中存储凭据(或任何敏感的秘密)。它不是一个金库,不应该被用作一个金库。否则,最终您的Jenkins服务器将成为攻击者的主要目标。
相反,集成您的Jenkins管道以仅在需要时将安全秘密提取到执行程序中,并在构建/测试作业完成时丢弃。这很容易用像Summon这样的东西来完成,它已经与许多金库集成,包括Conjur(也是CyberArk产品)。两者都是开源产品。
This blog post描述了一种根据我上面描述的方法将Jenkins与保险库集成的方法。
你可能想看看https://github.com/tmobile/t-vault。这将消除管理策略的需要。您可以在jenkins中为每个项目文件夹或作业创建一个安全的。
您可以创建批准并授予对安全的访问权限。每个项目都可以使用相应的批准。您也可以向保险箱授予个人访问权限。然后,用户可以使用webui创作和更新秘密。