Security 每个分支基于作业的安全性-Jenkins多分支管道_Security_Jenkins_Jenkins Plugins_Jenkins Pipeline

Security 每个分支基于作业的安全性-Jenkins多分支管道

security jenkins

Security 每个分支基于作业的安全性-Jenkins多分支管道,security,jenkins,jenkins-plugins,jenkins-pipeline,Security,Jenkins,Jenkins Plugins,Jenkins Pipeline,我有一个用于构建工件的Jenkins多分支管道，还有用于master、*-dev等的分支我希望在每个分支的基础上启用基于项目的安全性，即只允许开发人员运行构建的*-dev分支作业，而不允许任何其他作业，因为这样做会产生不良影响我知道有基于项目的安全性，但我没有看到任何分支。这是否存在？我们在更新Jenkins方面落后了，目前正在运行Jenkins2.46.1 否则，我想我可能必须有一个单独的上游作业来调用下游作业的正确分支，并使下游工件作业无法由具有这样做特权的开发人员运行。（这听起来有点过

我有一个用于构建工件的Jenkins多分支管道，还有用于

master

、

*-dev

等的分支

我希望在每个分支的基础上启用基于项目的安全性，即只允许开发人员运行构建的

*-dev

分支作业，而不允许任何其他作业，因为这样做会产生不良影响

我知道有基于项目的安全性，但我没有看到任何分支。这是否存在？我们在更新Jenkins方面落后了，目前正在运行Jenkins

2.46.1

否则，我想我可能必须有一个单独的上游作业来调用下游作业的正确分支，并使下游工件作业无法由具有这样做特权的开发人员运行。（这听起来有点过分了）

或者在分支机构的Jenkinsfile中有什么方法可以实现这一点吗？

这里有一些

Jenkinsfile

groovy，可以让您接近您想要的：

// return the user id that caused this build; else empty string
@NonCPS
def user_id_cause() {
    def CAUSE = currentBuild.rawBuild.getCause(
        hudson.model.Cause.UserIdCause.class
    );
    return CAUSE ? CAUSE.getUserId() : "";
}

// return all groups to which the given user id belongs
@NonCPS
def groups(USER_ID) {
    return Jenkins.instance.securityRealm.loadUserByUsername(USER_ID).authorities.collect{ it.toString() };
}

...

env.USER_ID_CAUSE = user_id_cause();
if (!env.BRANCH_NAME.endsWith('-dev')) {
    if (env.USER_ID_CAUSE) {
        if ('jenkins_admins' in groups(env.USER_ID_CAUSE)) {
            echo("INFO: user id `${env.USER_ID_CAUSE}` is in the group `jenkins_admins`.");
        } else {
            currentBuild.result = 'ABORTED';
            error("user id `${env.USER_ID_CAUSE}` is not in the group `jenkins_admins`.");
        }
    }
}

注意事项：

这些技巧严重依赖于需要Jenkins管理员“过程中脚本批准”的API函数
上面的示例假设存在特权用户所属的
```
jenkins\u admins
```
组——您的用户/组情况可能会非常不同
一般来说，处理从Jenkins API函数返回的对象应该在
```
@NonCPS
```
-注释函数中完成，否则您将面临
```
java.io.NotSerializableException
```
的风险

参考资料：