de:modul:ffit:3-jahr:cicd:learningunits:lu12:a

LU12a - Jenkins Secrets

Lokal werden Secrets oft in privaten .env-Dateien gespeichert. Bei Build-Pipelines müssen die Secrets auf dem Build-Server (oder einem 3rd-Party-Service) hinterlegt werden. Secrets direkt in die Jenkinsfile-Datei zu schreiben ist keine gute Idee, da sie für alle mit Lesezugriff auf das Code-Repository lesbar wären.

Die verschiedenen Typen von „secrets“, die JEnkins unterstützt, sind in folgender Tabelle aufgelistet.

Typ Zweck Beispiele Verwendung in Pipeline
Secret text Einzelner String-Wert API Keys, Tokens 
withCredentials([string(...)])
Username/Password Login-Paare DB, Docker Registry 
withCredentials([usernamePassword(...)])
SSH Key SSH Zugriff Server Deploy, Git SSH 
sshUserPrivateKey
Secret file Datei als Secret kubeconfig, JSON Keys, Zertifikate 
file(credentialsId, ...)
Certificate X.509 Zertifikate mTLS, interne APIs Zertifikatsbasierte Auth (zum Beispiel für Webhooks)

Nachfolgend ist die Verwendung in einem Jenkinsfile zu sehen. Die separate Helper-Function sorgt dafür, dass bei mehreren Stages nicht die Secret-ID mehrfach angegeben werden muss.

Jenkinsfile mit Passwort-Leak ❌ Jenkinsfile mit Secret-Helper-Function ✔️ 
    environment {
        DB_USER            = "appuser"
        DB_PASSWORD        = "apppassword"
    }
    ...
            steps {
                sh """
                    docker run -d \
                        --name $DB_CONTAINER \
                        --restart unless-stopped \
                        --network infra-net \
                        -e POSTGRES_USER=$DB_USER \
                        -e POSTGRES_PASSWORD=$DB_PASSWORD \
                        -e POSTGRES_DB=$DB_NAME \
                        -v $DB_VOLUME:/var/lib/postgresql/data \
                        -v $WORKSPACE/database:/docker-entrypoint-initdb.d \
                        postgres:17
                """
            }
 
def withDbCredentials(body) {
    withCredentials([
        usernamePassword(
            credentialsId: 'postgres-creds',
            usernameVariable: 'DB_USER',
            passwordVariable: 'DB_PASSWORD'
        )
    ]) {
        body()
    }
}
...
            steps {
                withDbCredentials {
                    sh """
                        docker run -d \
                            --name $DB_CONTAINER \
                            --restart unless-stopped \
                            --network infra-net \
                            -e POSTGRES_USER=$DB_USER \
                            -e POSTGRES_PASSWORD=$DB_PASSWORD \
                            -e POSTGRES_DB=$DB_NAME \
                            -v $DB_VOLUME:/var/lib/postgresql/data \
                            -v $WORKSPACE/database:/docker-entrypoint-initdb.d \
                            postgres:17
                    """
                }
            }

Ein wichtiger Grundsatz bezüglich der Sicherheit von Jenkins-Secrets lautet: „Wenn ein Benutzer eine Pipeline editieren kann, kann er in der Regel auch Secrets exfiltrieren.“

  • de/modul/ffit/3-jahr/cicd/learningunits/lu12/a.txt
  • Zuletzt geändert: 2026/05/18 23:27
  • von apeter