在 Jenkins 中管理 secret

水灵

  接下来我们将讨论在 Jenkins 中保护 secret 的一些可用选项。一起来看看将 secrets 安全地注入 Jenkins 流水线的一些最佳实践。
  一次性密码 (OTP)：一次性密码通过确保用户名/密码组合不能多次使用来帮助防止用户帐户被盗用。虽然该帐户始终保留用户名，但用户每次登录时都会收到一个 OTP。这可以保证 Jenkins 管理员和用户帐户的安全，防止密钥信息泄露。
  避免硬编码密钥：删除已硬编码到 CI/CD 配置和 Jenkinsfiles 中的密钥。这样能够让敏感凭证信息不出现在流水线中，避免恶意行为者访问和利用。
  将密钥存储在多个 Jenkins 文件：将密钥存储在多个文件中有助于实施凭据最少暴露原则。这样可以让凭据用于尽可能少的应用程序和用户。
  使用授权控制来管理密钥权限：开发团队应配置安全检查，以确保请求资源访问的应用程序具有有效应用程序的属性。这些应用程序需要根据 RBAC （Role-based Access Control）策略中分配的权限访问各种资源。
  遵循最小权限原则：仅将权限授予需要访问流水线内密钥的应用程序。团队应始终如一地审核权限，确保在流水线的整个生命周期中最小权限原则得以实施和维护。
  管理和存储密钥这一节我们将会介绍3个实际使用密钥的Jenkins和Akeyless密钥管理平台的基本例子：第一个例子是完全不安全的示例：使用纯文本环境变量来存储敏感凭据；第二个例子则是使用原生的Jenkins功能和插件来进行密钥管理；第三例子将会展示使用第三方工具来进行密钥管理的好处。