История изменений

И тут фактически код, запускаемый Jenkins, получит root права в той системе, где запускается, в том числе доступ к секретам, хранящимся в Jenkins.

Спасибо за ответ, т.е. в целях сохранения jenkins секретов, мы можем запускать все работы на ведомых нодах. Допустим я так настроил, но на ведомых нодах тоже будет sensitive data. Например доступ к управлению k8s кластером, мне кажется это будет поважнее, чем секреты хранящиеся в jenkins.

Может тогда нужно еще разделить задачу:

1. Jenkins master скачивает исходный код и передаем его агенту

2. Первый агент компилит код, собирает image и отправляет его в репозиторий.

3. Второй агент или даже мастер, у кого есть доступ к k8s, деплоит приложение в k8s.

Таким образом в процессе компиляции и сборки образа, у агента, который это делает, не будет прав доступа к k8s. Соответственно вредоносный код не сможет туда добраться.

Спасибо за ответ, т.е. в целях сохранения jenkins секретов, мы можем запускать все работы на ведомых нодах. Допустим я так настроил, но на ведомых нодах тоже будет sensitive data. Например доступ к управлению k8s кластером, мне кажется это будет поважнее, чем секреты хранящиеся в jenkins.

Может тогда нужно еще разделить задачу:

1. Jenkins master скачивает исходный код и передаем его агенту

2. Первый агент компилит код, собирает image и отправляет его в репозиторий.

3. Второй агент или даже мастер, у кого есть доступ к k8s, деплоит приложение в k8s.

Таким образом в процессе компиляции и сборки образа, у агента, который это делает, не будет прав доступа к k8s. Соответственно вредоносный код не сможет туда добраться.