我有一个基于Jenkins的Java项目。此代码需要运行Secret文件(.pem格式)。我无法将文件保存在Java项目本身中(出于安全原因)。
文件格式为key_v2-XXXXX.pem,内容为
-----BEGIN PRIVATE KEY-----
XXX
XXXX
-----END PRIVATE KEY-----
当前,Java代码正在访问Local中存在的Secret文件。因此本地构建很好。
但是,当在Jenkins上执行此代码时,构建失败,因为找不到本地文件或Jenkins无法访问该文件。
我在詹金斯中将机密文件添加为全局凭证(不受限制)。 (参考-https://jenkins.io/doc/book/using/using-credentials/)
我需要找到一种Java代码在运行Jenkins构建时访问此Secret文件(存储在Jenkins中)的方法。
还是有其他方法可以处理这种情况?
参考方案
有很多方法可以做到这一点。
最简单的方法是使用Jenkins凭据插件(可以定义密钥或文件等)。https://wiki.jenkins-ci.org/display/JENKINS/Credentials+Plugin
相当常用的模式:
1)使用CI / CD工具的加密功能(即Jenkins,使用Jenkins凭据插件)
2)将您的秘密存储在SCM中(显然已加密)。然后,问题就变成了在构建时安全地传送机密(或在启动时将其提供),以便能够解密已部署的机密(密码,凭据,机密,证书)。那就是秘密管理工具(例如Vault)的所在。秘密的管理工具将使您能够安全地检索您的秘密,以便在需要时将其解密。
3)另一种方法是将所有秘密,证书等实际存储在SCM之外的秘密管理工具本身中,并在部署/启动时进行检索。
我会说使用方法2。在这种情况下,您的代码每次都以相同的方式(相同的文件路径等)访问文件。当涉及到构建时,您尝试解密的实际文件位于工作目录中的某个位置。因此,只要您的Java代码知道知道在何处查找机密文件等,那么访问Java代码就不成问题。然后,使用Credentials插件Secret解密文件,这是构建的第一步。
Java:线程池如何将线程映射到可运行对象 - java试图绕过Java并发问题,并且很难理解线程池,线程以及它们正在执行的可运行“任务”之间的关系。如果我创建一个有10个线程的线程池,那么我是否必须将相同的任务传递给池中的每个线程,或者池化的线程实际上只是与任务无关的“工人无人机”可用于执行任何任务?无论哪种方式,Executor / ExecutorService如何将正确的任务分配给正确的线程? 参考方案 …
JAVA:字节码和二进制有什么区别? - javajava字节代码(已编译的语言,也称为目标代码)与机器代码(当前计算机的本机代码)之间有什么区别?我读过一些书,他们将字节码称为二进制指令,但我不知道为什么。 参考方案 字节码是独立于平台的,在Windows中运行的编译器编译的字节码仍将在linux / unix / mac中运行。机器代码是特定于平台的,如果在Windows x86中编译,则它将仅在Win…
java:继承 - java有哪些替代继承的方法? java大神给出的解决方案 有效的Java:偏重于继承而不是继承。 (这实际上也来自“四人帮”)。他提出的理由是,如果扩展类未明确设计为继承,则继承会引起很多不正常的副作用。例如,对super.someMethod()的任何调用都可以引导您通过未知代码的意外路径。取而代之的是,持有对本来应该扩展的类的引用,然后委托给它。这是与Eric…
Java:BigInteger,如何通过OutputStream编写它 - java我想将BigInteger写入文件。做这个的最好方式是什么。当然,我想从输入流中读取(使用程序,而不是人工)。我必须使用ObjectOutputStream还是有更好的方法?目的是使用尽可能少的字节。谢谢马丁 参考方案 Java序列化(ObjectOutputStream / ObjectInputStream)是将对象序列化为八位字节序列的一种通用方法。但…
Java DefaultSslContextFactory密钥库动态更新 - java我有一个使用org.restlet.engine.ssl.DefaultSslContextFactory的现有应用程序和一个在服务器启动时加载的密钥库文件。我有另一个应用程序,该应用程序创建必须添加的证书服务器运行时动态地更新到密钥库文件。为此,我在代码中创建了证书和私钥,然后将其写入到目录。该目录由bash脚本监视,该脚本检查是否有新文件,如果出现,它将…