我们正在使用带有组织文件夹的多分支管道(Bitbucket 分支源插件)。我正在使用共享库干燥我们的管道,从Jenkins 文档和论坛帖子中获取提示。我还向其他开发人员提供脚本,试图在希望一切“正常工作”的人和想要定制的人之间取得平衡。
我编写了一个包含管道和默认步骤的共享库。这个库是在 Jenkins 的文件夹级别配置的。
jenkins-lib
vars
pipeline_main.groovy
pipeline_pullRequest.groovy
...
default_init.groovy
pipeline_main.groovy如果有一个带有键“init”的 Map 条目,或者如果没有,则使用用户提供的阶段进行一些初始化default_init:
#!groovy
def call(Map config) {
pipeline {
agent any
...
stages {
stage ('Init') {
steps {
script {
config['init'] ? config['init'](config) : default_init(config)
}
}
}
....
}
}
}
和詹金斯文件:
@Library('repo/jenkins-lib') _
def customInit = { Map config ->
echo 'Custom Init function override'
// default_init(config) // causes security exception if uncommented
}
if (env.BRANCH_NAME ==~ /PR-\d+/ ) {
pipeline_pullRequest(maven: 'maven3.3.9')
}
else if (env.BRANCH_NAME ==~ /master|develop/ ) {
pipeline_main(maven: 'maven3.3.9', init: customInit)
}
else {
pipeline_feature(maven: 'maven3.3.9')
}
当只使用默认值时,调用库中定义的管道效果很好。
现在,请注意customInitJenkinsfile 中的方法。为了进行测试,我添加了一个调试行并从库中调用了该default_init步骤。当我使用此配置(未default_init 注释)运行测试构建时,构建失败并出现安全异常:
org.jenkinsci.plugins.scriptsecurity.sandbox.RejectedAccessException:脚本不允许使用方法 groovy.lang.GroovyObject invokeMethod java.lang.String java.lang.Object ...
如果customInit方法只是echo管道成功执行的步骤。
我知道我可以将调用列入白名单invokeMethod,但似乎我应该尊重 Jenkins 发出的警告,即拒绝请求以避免可能的安全漏洞。而且,我知道我可以在全局 Jenkins 级别定义库以使其受信任;但是,如果可能的话,我宁愿坚持使用每个文件夹的方法。
我想知道为什么直接从 Jenkinsfile 调用的库方法不会调用安全异常,但封装在闭包中的库方法会这样做?还是我只是想念别的东西?
PS Jenkins 2.89.3、Bitbucket Branch Source 2.2.9、最新版本的所有“管道:...”库。
default_init.groovy内容,如果重要的话:
#!groovy
import java.util.Map
def call(Map config) {
echo sh(returnStdout: true, script: 'env | sort')
}