我正在按照指南如何使用Jenkins签署Android apk.我已经使用KSTOREPWD和KEYPWD参与了Jenkins的工作.Jenkins的作业配置(Build-> Execute shell)的一部分是获取这些参数并将它们存储为环境变量:
export KSTOREPWD=${KSTOREPWD} export KEYPWD=${KEYPWD} ... ./gradlew assembleRelease
问题是当构建结束时,任何人都可以访问构建"控制台输出"并查看输入的密码; 部分输出:
08:06:57 + export KSTOREPWD=secretStorePwd 08:06:57 + KSTOREPWD=secretStorePwd 08:06:57 + export KEYPWD=secretPwd 08:06:57 + KEYPWD=secretPwd
所以我想在export
命令输出之前抑制回声并在export
命令后重新启用echo .
如官方文档中所建议的,这是一个如何以更安全的方式sh
在Jenkinsfile
没有输出的情况下写入参数的示例。该答案的主要魔力在写。set +x
单引号将使密码作为环境变量被外壳扩展。双引号的安全性可能较低,因为该密码是由Groovy插值的,因此典型的操作系统进程列表(以及Blue Ocean,以及经典UI中的管道步骤树)会意外地泄露它:
不安全,错误的用法:
node { withCredentials([string(credentialsId: 'mytoken', variable: 'TOKEN')]) { sh /* WRONG! */ """ set +x curl -H 'Token: $TOKEN' https://some.api/ """ } }
正确用法?
node { withCredentials([string(credentialsId: 'mytoken', variable: 'TOKEN')]) { sh ''' set +x curl -H 'Token: $TOKEN' https://some.api/ ''' } }
默认情况下,Jenkins使用启动Execute Shell脚本set -x
.这会导致所有命令都被回显
您可以set +x
在任何命令之前键入以临时覆盖该行为.当然,你需要set -x
再次开始展示它们.
您可以通过将以下内容置于构建步骤的顶部来覆盖整个脚本的此行为:
#!/bin/bash +x