Исправление samson_b, (текущая версия) :
И тут фактически код, запускаемый Jenkins, получит root права в той системе, где запускается, в том числе доступ к секретам, хранящимся в Jenkins.
Спасибо за ответ, т.е. в целях сохранения jenkins секретов, мы можем запускать все работы на ведомых нодах. Допустим я так настроил, но на ведомых нодах тоже будет sensitive data. Например доступ к управлению k8s кластером, мне кажется это будет поважнее, чем секреты хранящиеся в jenkins.
Может тогда нужно еще разделить задачу:
1. Jenkins master скачивает исходный код и передаем его агенту
2. Первый агент компилит код, собирает image и отправляет его в репозиторий.
3. Второй агент или даже мастер, у кого есть доступ к k8s, деплоит приложение в k8s.
Таким образом в процессе компиляции и сборки образа, у агента, который это делает, не будет прав доступа к k8s. Соответственно вредоносный код не сможет туда добраться.
Исходная версия samson_b, :
Спасибо за ответ, т.е. в целях сохранения jenkins секретов, мы можем запускать все работы на ведомых нодах. Допустим я так настроил, но на ведомых нодах тоже будет sensitive data. Например доступ к управлению k8s кластером, мне кажется это будет поважнее, чем секреты хранящиеся в jenkins.
Может тогда нужно еще разделить задачу:
1. Jenkins master скачивает исходный код и передаем его агенту
2. Первый агент компилит код, собирает image и отправляет его в репозиторий.
3. Второй агент или даже мастер, у кого есть доступ к k8s, деплоит приложение в k8s.
Таким образом в процессе компиляции и сборки образа, у агента, который это делает, не будет прав доступа к k8s. Соответственно вредоносный код не сможет туда добраться.