密钥仓库

1. 操作限制#

为确保安全，密钥仓库相比普通仓库存在严格的操作限制：

2. 安全增强机制#

• 动态水印: 所有页面自动添加当前用户名的半透明水印，有效防止截图泄露并进行责任追溯。
• 完整的审计日志: 记录所有对该仓库文件的引用记录（如何时、被哪条流水线引用），支持全链路溯源。
• 强制 Web 端操作: 仅支持在平台 Web 界面上进行文件编辑，从根本上杜绝本地环境可能带来的泄露风险。
• 严格的权限控制: 遵循系统统一的角色权限模型，精细化管控人员访问权限。
• 声明式访问范围: 可通过配置精确控制密钥文件的被引用条件，详见流水线文件引用中的权限检查规则。

1. 存储密钥文件#

在密钥仓库中，通常使用 YAML 或 JSON 文件来结构化地存储密钥。

# env.prod.yml
# 生产环境密钥
DOCKER_USER: "prod_username"
DOCKER_TOKEN: "prod_token_123456"
DOCKER_REGISTRY: "registry.prod.com"

# env.dev.yml
# 开发测试环境密钥
DOCKER_USER: "dev_username"
DOCKER_TOKEN: "dev_token_123456"
DOCKER_REGISTRY: "registry.dev.com"

2. 注入为环境变量#

在流水线配置 (.cnb.yml) 中，通过 imports 关键字引用密钥仓库中的文件，将其内容自动注入为流水线任务的环境变量。

main:
  push:
    - services:
        - docker
      imports:
        # 引用密钥仓库中的特定文件
        - https://cnb.cool/<your-repo-slug>/-/blob/main/env.prod.yml
      stages:
        - name: 构建并推送镜像
          script: |
            # 注入的环境变量可直接在脚本中使用
            echo "登录到镜像仓库..."
            docker login -u $DOCKER_USER -p "$DOCKER_TOKEN" $DOCKER_REGISTRY
            echo "构建镜像..."
            docker build -t $DOCKER_REGISTRY/$CNB_REPO_SLUG_LOWERCASE:latest .
            echo "推送镜像..."
            docker push $DOCKER_REGISTRY/$CNB_REPO_SLUG_LOWERCASE:latest

3. 引用鉴权与范围控制#

• 默认权限: 默认情况下，只有密钥仓库的管理员和负责人身份成员触发的流水线才有权引用该仓库中的文件。
• 放宽权限与精细控制: 若需允许更广泛的成员（如普通开发者）触发的流水线引用，必须在密钥文件中声明 allow_* 系列字段进行精细化授权，例如：

  • allow_slugs: 限制只有特定仓库的流水线可以引用。

  • allow_events: 限制只有特定事件（如 tag_push）触发的流水线可以引用。

  • allow_branches: 限制只有特定分支（如 main, prod）的流水线可以引用。

  • allow_images: 限制只有特定镜像的插件任务可以引用。

    请注意：一旦配置了 allow_* 规则，系统将忽略触发者的角色权限，转而完全依据这些规则进行校验。所有规则均需通过，引用才被允许。详情请参阅权限检查。

4. 防范流水线内泄漏#

虽然密钥仓库本身很安全，但密钥一旦被注入到流水线环境中，仍需警惕脚本中的泄漏风险（例如，误将环境变量打印到日志中）。

防护建议：

1. 保护流水线配置本身: 将包含 imports 引用的流水线配置存放在一个独立的、权限受控的仓库中，其他业务仓库通过 include 来引入。从而限制修改流水线配置的人员范围。
2. 使用保护分支: 结合密钥文件中的 allow_branches 规则，将其限制为只能在保护分支上使用。对保护分支的修改要求必须通过 Pull Request 并进行代码评审，从而增加一道人工审计关卡。
3. 审计与日志监控: 定期检查流水线日志，关注异常行为。