Jenkinsfile:是否有比明文用户名更安全的替代方案:password/PAT for Bitbucket REST API?
Jenkinsfile: Is there a more secure alternative to cleartext username:password/PAT for Bitbucket REST API?
我使用 Jenkinsfile 进行 Bitbucket REST API 调用。
Jenkinsfile 的原始版本使用超级用户的 username:password 作为 curl 的 -u 参数。例如
pipeline {
agent any
stages {
stage( "1" ) {
steps {
script {
def CRED = "super_user:super_password"
def url = "https://bitbucket.company.com/rest/build-status/1.0/commits"
def commit = 0000000000000000000000000000000000000001
def dict = [:]
dict.state = "INPROGRESS"
dict.key = "foo_002"
dict.url = "http://server:8080/blue/organizations/jenkins/job/detail/job/002/pipeline"
def cmd = "curl " +
"-f " +
"-L " +
"-u ${CRED} " +
"-H \\"Content-Type: application/json\\" " +
"-X POST ${url}/${commit} " +
"-d \\''${JsonOutput.toJson(dict)}'\\'"
sh(script: cmd)
}
}
}
}
}
我认为 def CRED = "super_user:super_password" 不安全——即 username/password 以明文形式存在。所以我四处寻找替代品。
有人建议我使用个人访问令牌 (PAT) 而不是 username/password。
我 PAT 实际上是现有用户的“另一个密码”。 IE。如果提到的 super_user 在 Bitbucket web UI 中创建了一个 PAT——例如“00000000000000000000000000000000000000000000”——那么对上述 Jenkins 文件的唯一更改是:
def CRED = "super_user:00000000000000000000000000000000000000000000"
为什么这被认为更安全? 明文 super_user:00000000000000000000000000000000000000000000 的存在与明文 [= 的存在一样是安全漏洞吗? 18=]?
This Bitbucket REST API documentation 提供了 curl 命令的示例来调用更新提交构建状态的 REST API,这就是上面的 Jenkinsfile 实现的。
由于调用 REST API 最终归结为 curl 命令——即在 shell 提示符中调用的东西,无论是人为还是 Jenkinsfile 脚本——保护该用户名的普遍惯例是什么:password/PAT 以便它在 Jenkinsfile(或通过调用 readFile() 等读取的文件)中不是明文 ?
您需要使用 Jenkins 凭据存储并且不要在 curl 命令中对凭据变量使用双引号以避免字符串插值。
pipeline {
agent any
stages {
stage( "1" ) {
steps {
script {
withCredentials([usernamePassword(credentialsId: 'bitBucketCreds', passwordVariable: 'password', usernameVariable: 'username')]) {
String url = "https://bitbucket.company.com/rest/build-status/1.0/commits"
String commit = '0000000000000000000000000000000000000001'
Map dict = [:]
dict.state = "INPROGRESS"
dict.key = "foo_002"
dict.url = "http://server:8080/blue/organizations/jenkins/job/detail/job/002/pipeline"
List command = []
command.add("curl -f -L")
command.add('-u ${username}:${password}')
command.add("-H \\"Content-Type: application/json\\"")
command.add("-X POST ${url}/${commit}")
command.add("-d \\''${JsonOutput.toJson(dict)}'\\'")
sh(script: command.join(' '))
}
}
}
}
}
}
我使用 Jenkinsfile 进行 Bitbucket REST API 调用。
Jenkinsfile 的原始版本使用超级用户的 username:password 作为 curl 的 -u 参数。例如
pipeline {
agent any
stages {
stage( "1" ) {
steps {
script {
def CRED = "super_user:super_password"
def url = "https://bitbucket.company.com/rest/build-status/1.0/commits"
def commit = 0000000000000000000000000000000000000001
def dict = [:]
dict.state = "INPROGRESS"
dict.key = "foo_002"
dict.url = "http://server:8080/blue/organizations/jenkins/job/detail/job/002/pipeline"
def cmd = "curl " +
"-f " +
"-L " +
"-u ${CRED} " +
"-H \\"Content-Type: application/json\\" " +
"-X POST ${url}/${commit} " +
"-d \\''${JsonOutput.toJson(dict)}'\\'"
sh(script: cmd)
}
}
}
}
}
我认为 def CRED = "super_user:super_password" 不安全——即 username/password 以明文形式存在。所以我四处寻找替代品。
有人建议我使用个人访问令牌 (PAT) 而不是 username/password。
我 super_user 在 Bitbucket web UI 中创建了一个 PAT——例如“00000000000000000000000000000000000000000000”——那么对上述 Jenkins 文件的唯一更改是:
def CRED = "super_user:00000000000000000000000000000000000000000000"
为什么这被认为更安全? 明文 super_user:00000000000000000000000000000000000000000000 的存在与明文 [= 的存在一样是安全漏洞吗? 18=]?
This Bitbucket REST API documentation 提供了 curl 命令的示例来调用更新提交构建状态的 REST API,这就是上面的 Jenkinsfile 实现的。
由于调用 REST API 最终归结为 curl 命令——即在 shell 提示符中调用的东西,无论是人为还是 Jenkinsfile 脚本——保护该用户名的普遍惯例是什么:password/PAT 以便它在 Jenkinsfile(或通过调用 readFile() 等读取的文件)中不是明文 ?
您需要使用 Jenkins 凭据存储并且不要在 curl 命令中对凭据变量使用双引号以避免字符串插值。
pipeline {
agent any
stages {
stage( "1" ) {
steps {
script {
withCredentials([usernamePassword(credentialsId: 'bitBucketCreds', passwordVariable: 'password', usernameVariable: 'username')]) {
String url = "https://bitbucket.company.com/rest/build-status/1.0/commits"
String commit = '0000000000000000000000000000000000000001'
Map dict = [:]
dict.state = "INPROGRESS"
dict.key = "foo_002"
dict.url = "http://server:8080/blue/organizations/jenkins/job/detail/job/002/pipeline"
List command = []
command.add("curl -f -L")
command.add('-u ${username}:${password}')
command.add("-H \\"Content-Type: application/json\\"")
command.add("-X POST ${url}/${commit}")
command.add("-d \\''${JsonOutput.toJson(dict)}'\\'")
sh(script: command.join(' '))
}
}
}
}
}
}