gpt4 book ai didi

python - 查找屏蔽的 CI/CD 变量的值

转载 作者:行者123 更新时间:2023-12-02 18:28:23 25 4
gpt4 key购买 nike

我目前正在尝试在 VM 中查找 CI/CD 变量的值。我试图输出它,但我发现变量的值在作业日志中被屏蔽了。这是我在 .gitlab-ci.yml 中使用的代码。

image: python:3

stages:
- deploy

deploy:
stage: deploy
script:
- echo "List all CI/CD variables"
- export

有问题的行是

...     
declare -x Secret_variable ="[MASKED]"
...

有没有办法让我在不修改 Gitlab 变量部分的复选框的情况下获取查找值?

最佳答案

您可以通过单击“显示值”按钮在项目(或组,如果它是组变量)的设置页面中显示 CI/CD 变量的值。

reveal value button

你必须有 maintainer permission或更高才能做到这一点。

或者,您可以在转换值时在作业日志中公开 secret ,这样它就不会在作业日志中被屏蔽。这是一个坏主意,因为您会以明文形式公开敏感值,但仍然可以这样做。

与其他 CI 平台不同,GitLab 仅屏蔽精确值。例如,您可以打印 base64 编码的值、以相反顺序打印字符、以任何方式破坏它们等,它们不会在作业日志中被屏蔽。

也很高兴知道这可能会意外发生,例如,如果您在 curl 中使用 secret 作为启用详细信息的基本身份验证请求,因为详细日志将显示 base64 编码的参数。例如,curl -vvv --user "${USERNAME}"--password "${SECRET_PASSWORD}" 将在作业日志中公开您的 CI/CD 变量。

当然,你也可以有意地这样做......

expose_secrets:
script:
- echo $SUPER_SECRET | base64

GitLab 的安全模型围绕受信任的开发人员工作。除非您有正当理由这样做,否则您显然不应这样做。这样做可能会给你带来很多麻烦,除非你的工作是渗透测试系统。当 secret 像这样暴露在作业日志中时,即使是 base64 形式,也应将其视为已泄露并立即轮换。

关于python - 查找屏蔽的 CI/CD 变量的值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69789910/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com