专栏首页JenkinsJenkins CI/CD 集成 Git Secrets

Jenkins CI/CD 集成 Git Secrets

通常,对我们在代码中使用的机密或凭据进行加密,然后将其保存在安全的地方。我们可以有很多选择来实现这一目标,例如使用 Vault 和 Git-crypt 等工具来。git-secret 是一个简单的工具,我们可以使用它在 Git 仓库中存储密钥。Git-secret 使用 gpg 加密和解密密钥。

git-secret 的工作方式如下。进入仓库中要加密文件的文件夹,然后,运行 git init && git secret init。这将初始化 .gitsecret 文件夹,然后运行 git secret tell $email,如果您希望其他用户解密密钥文件,则必须导入其 gpg 公钥,然后再次运行 git secret tell $otheruseremailid。现在您可以运行 git secret add $secretfilenamegit secret hide,这将创建名为 $secretfilename.secret 的加密的密钥文件。

或许你会对在 Git 中存储加密的凭据感兴趣。

现在,您可以提交 master 分支库了。git-secret 自动将 $secretfile 添加到 .gitignore,因此您只需提交 $secretfile.secret 文件。

将 git-secret 集成到 Jenkins 中的主要挑战是 git-secret 使用 gpg 私钥和公钥。如果我们必须运行 git secret reveal,我们应该有一个 gpg 私钥。因此,我们如何在 Jenkins 上运行它,怎样使用一个从节点来拉取仓库并进行构建,如果您必须在从节点展示 git secret,则应该在从节点拥有 gpg 私钥。我们如何在 Jenkins 流水线中实现这种加密和解密?

这些步骤将说明在 Jenkins 流水线中使用 git-secret 的方法。

在 Jenkins 上运行 git-secret

1.导出 gpg 私钥。

gpg -a --export-secret-keys $keyid > gpg-secret.key
gpg --export-ownertrust > gpg-ownertrust.txt

你将通过运行 gpg --list-secret-keys 获得密钥 ID。此处的 E7CD2140FEC5B45F42860B2CC19824F8BC975ABCD 是密钥 ID。

sec   rsa4096 2019-09-17 [SC]

      E7CD2140FEC5B45F42860B2CC19824F8BC975ABCD

uid           [ultimate] Test (test gpg key) <test@domain.com>

2.将导出的 gpg 密钥和所有者信任作为 secret file 添加到 Jenkins 凭证。下图展示了添加私钥作为 Jenkins 凭据。以相同的方式添加所有者信任文件。

3.添加 gpg 私钥的密码短语作为 secret text。下图演示了这一点。

4.在 Jenkins 流水线中使用添加的 gpg 私钥、所有者信任文件和密码短语。这里的 “gpg-secret”、”gpg-trust” 和 “gpg-passphrase” 是添加 Jenkins 凭据时给出的 ID。

pipeline {
     agent {
        node {
            label 'test_slave'
        }
    }

    environment {
        gpg_secret = credentials("gpg-secret")
        gpg_trust = credentials("gpg-trust")
        gpg_passphrase = credentials("gpg-passphrase")
    }

    stages {
        stage("Import GPG Keys") {
            steps {
                sh """
                    gpg --batch --import $gpg_secret
                    gpg --import-ownertrust $gpg_trust
                """
            }
        }

        stage("Reveal Git Secrets") {
            steps {
                sh """
                    cd $WORKSPACE/$yoursecretfolder
                    git init
                    git-secret reveal -p '$gpg_passphrase'
                """
            }
        }
    }
}

我希望本文能清楚地解释如何在 Jenkins 流水线中使用 git-secrets。

译者:zhaoying

本文分享自微信公众号 - Jenkins(Jenkins-Community),作者:Aditya C S

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-11-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 批量修改 Jenkins 任务的技巧

    最近,笔者所在团队的 Jenkins 所在的服务器经常报硬盘空间不足。经查发现很多任务没有设置“丢弃旧的构建”。通知所有的团队检查自己的 Jenkins 任务有...

    LinuxSuRen
  • 回顾 2018: 革新的一年

    临近年终,是一个思考总结、展望全局的好时机。那就让我们暂时从日常繁复的工作中停下脚步,一起来盘点 Jenkins 在 2018 这一年的得失与喜乐。

    LinuxSuRen
  • 看,我都不用手动配置

    Jenkins 非常灵活,如今已成为实现 CI/CD 的事实标准,同时拥有一个活跃的社区来维护几乎所有工具和用例的插件。但是灵活也是要付出代价的:除了 Jenk...

    LinuxSuRen
  • 使用gpg密钥验证github提交

    版权声明:本文为博主原创文章,转载请注明出处。 ...

    乐百川
  • OpengL ES _ 入门_02

    顶点是啥? 顶点就是坐标位置,不管你是画直线,三角形,正方体,球体,以及3D游戏人物等,都需要顶点来确定其形状。 顶点坐标创建 1.记住顶点的坐标数据类型...

    酷走天涯
  • windows下部署sentinel模式的Redis主从集群

    在前面一篇文章中,我介绍了如何在windows下安装普通的redis主从,也介绍了主从模式下的问题,那么本文就介绍Redis集群中一种更优的模式,Sentine...

    诺浅
  • SLURM使用教程

    我现在经常在实验室服务器上跑程序,而老师要求我们使用SLURM作业管理系统,网上资料零零散散,这篇文章算是一个简单的汇总

    mathor
  • CRA (create-react-app) IE 兼容方案

    其实都是 ES6 语法不支持导致了,理论上经过 babel 处理后就好。尝试了在入口文件中加入官方提供的 react-app-polyfill 和 babel ...

    kmokidd
  • 【前端词典】关于 Babel 你必须知道的

    我第一次打开搜索引擎查询关于 Babel 的资料时,出现的竟然是关于 Babel 的传说。后来我花了小一天的时间去了解这个传说(来自《旧约圣经》)。

    小生方勤
  • 搭建babel将es6转es5环境

    babel 6与之前版本的区别: 之前版本只要安装一个babel就可以用了,所以之前的版本包含了一大堆的东西,这也导致了下载一堆不必要的东西。但在babel6中...

    yuezhongbao

扫码关注云+社区

领取腾讯云代金券