在使用Jenkins-m2-release插件进行maven-release时,构建作业正在创建一个release.properties文件,该文件显示SCM连接信息,如要连接的URL,svn中标记的位置,要连接的用户名以及密码连接等。一旦用户安排maven发布版本,就会在Jenkins WORKSPACE目录下生成此文件。此文件最大的安全问题之一是它以明文形式显示SCM.password的值。在发布完成后,在传递的构建中,此文件将从工作区中清除。如果构建失败,则文件将保留在Jenkins工作区中,并且可由服务器中的任何管理员用户访问。 根据Jenkins社区的说法,这个问题应该在最新的M2版本插件中修复 https://wiki.jenkins-ci.org/display/JENKINS/M2+Release+Plugin,但我们仍然在Jenkins服务器中看到了这个问题。 (请在下面找到我们的服务器配置)
我尝试了以下变通办法,但似乎没有任何工作方法
其中一篇帖子提到了使用maven-encryption加密密码并将其添加到settings.xml文件以访问服务器。这对我们不起作用,因为多个(独立)团队共享相同的svn服务器。
我正在寻找其他想法来克服这种安全风险。