在Jenkins中使用密码的Shell脚本

Question

我已经创建了一个执行shell脚本的Jenkins作业。“不安全”的人可以打开它并开始工作。该作业在shell中执行db工具，该工具需要db密码。Jenkins实例运行在一台可以被“不安全”人员访问的计算机上。作业被委托给一个可以被“安全”人员访问的从机。

这是一个参数化的构建，有一个参数: password作为Password参数。

为简洁起见，脚本的相关部分如下：

#!/bin/bash +x
dban -u username -p ${password}

它运行得很好，如果密码不正确，也会失败。如第一行所述，通过+x禁用回显所调用的命令。

有这么简单吗？出于安全考虑，我还应该考虑什么？

Answer 1

您是否希望用户运行构建，而不必传入密码参数？如果是这样的话，你应该为它设置一个凭证。

https://support.cloudbees.com/hc/en-us/articles/203802500-Injecting-Secrets-into-Jenkins-Build-Jobs

https://github.com/jenkinsci/credentials-plugin/blob/master/docs/user.adoc