有什么策略可以将Jenkins凭证锁定到共享库吗？

Question

我喜欢使用Jenkinsfiles和shared-libraries来获得它们声称的好处，但我对执行任意Jenkinsfile(以及可能使用广泛范围的凭据)有一些治理方面的担忧。

我认为将credentials锁定为由特定的共享库使用来强制使用模式会更方便(同时，我认为完全有可能有更好的方法来解决问题空间)，所以我只是在这个空间中寻求任何想法/指导。

Answer 1

不确定我们的解决方案是否适用于您。

我们有一个共享库；经过审查并被锁定，因此不只是任何人都可以对其进行更改。我们将该库附加到Jenkins上的两个单独的文件夹中。

在一个文件夹中，我们的用户有自己的个人或基于团队的文件夹，并可以在该空间中创建作业和凭据。这个大文件夹上没有共享凭据，团队之间也不共享凭据。

还有第二个文件夹，所有用户/团队都没有编辑权限，但可以执行现有作业。该文件夹中没有基于SCM的Jenkinsfile作业，用户可以在该文件夹中通过SCM修改作业。此文件夹具有不允许共享或访问的“已锁定”凭据。用户/团队可以编辑他们的作业(在他们的文件夹中)来调用这些作业-但他们不能编辑这些受保护的作业来访问凭据。

这在某种程度上是很尴尬的。但它保留了用户和他们不应该访问的凭证之间的鸿沟。