VS
у дженкинса просто ид указал секрета и все
Size: a a a
2020 June 03
AY
дженкикс конфиг ci скорее всего не хранит в репе с которой работает
AY
у gitlab это .gitlab-ci.yml и это известная проблема
VS
у дженкинса файл с описанием пайплайна, там секретов вообще нет никаких
VS
секреты заранее прописываются в дженкинсе
VS
и юзеры работают только с их ид
AY
но можно в пайплайне написать
echo $myscret
и запустить новый пайплан. И увидеть секрет
echo $myscret
и запустить новый пайплан. И увидеть секрет
AY
curl mysite.com?secret=$secret если фильтрация вывода логов стоит
AY
секреты заранее прописываются в дженкинсе
у всех так, проблема что их можно куда-то выкинуть в процессе работы. случайно или намеренно
x
Именно поэтому появился vault.
Теперь секреты хранятся в vault и получить их снаружи нельзя.
Правда появилась другая проблема: где хранить токен от vault
Теперь секреты хранятся в vault и получить их снаружи нельзя.
Правда появилась другая проблема: где хранить токен от vault
AY
vault это про централизованное хранилище.
мы начали обсуждение с того, что нужно через ci делать git push.
для этого нужно хранить ssh ключ.
а если сценарий пайплайна может кто-то поменять, то можно вытащить этот ключ.
vault тут параллельно.
мы начали обсуждение с того, что нужно через ci делать git push.
для этого нужно хранить ssh ключ.
а если сценарий пайплайна может кто-то поменять, то можно вытащить этот ключ.
vault тут параллельно.
AY
кейс про защиту Jenkinsfile или .gitlab-ci.yml от правок, это мало где проработано.
C
у гитлаба чтоли нет секретов где можно ключ схоронить в тайне от неадминов?
есть
VS
Именно поэтому появился vault.
Теперь секреты хранятся в vault и получить их снаружи нельзя.
Правда появилась другая проблема: где хранить токен от vault
Теперь секреты хранятся в vault и получить их снаружи нельзя.
Правда появилась другая проблема: где хранить токен от vault
токен от токена токеном потокняет
VS
смысл от волта в качестве защитника информации ноль
VS
но как централизованное хранилище довольно удобно
VS
серты выпускать, юзерами в базах управлять
AY
смысл от волта в качестве защитника информации ноль
нельзя слить секреты, если попасть на виртуалку волта