V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zong400
V2EX  ›  GitLab

请教如何保护.gitlab-ci.yaml 不会被其他人修改和 cicd 流程安全

  •  
  •   zong400 · 2022-08-31 11:47:39 +08:00 · 2378 次点击
    这是一个创建于 819 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如其他人合并代码,能不能锁定这个文件,或者干脆隐藏
    cicd 流程如果设置只能在 main 分支触发,分支保护设置只有 master 能 push 和 merge 是否足够防止误触发
    6 条回复    2023-04-06 16:49:13 +08:00
    AoEiuV020CN
        1
    AoEiuV020CN  
       2022-08-31 12:31:48 +08:00
    关键你“其他人”是谁,
    pr 的话直接禁止 pr 触发 ci 或者需要手动允许才触发 ci 就可以,
    其他项目参与人的话,我只知道 access token 可以不给 workflow 权限就无法修改 ci 配置,其他方法参与就没办法了,
    zong400
        2
    zong400  
    OP
       2022-08-31 15:07:46 +08:00
    其他人是指普通开发人员,我表述得不清楚
    superwater
        3
    superwater  
       2022-09-01 14:29:10 +08:00
    @AoEiuV020CN 楼主问的是 GitLab..

    @zong400 这个文件可以指到其他仓库。。
    zong400
        4
    zong400  
    OP
       2022-09-01 17:10:02 +08:00
    @superwater 是指 include 其他仓库的 yaml ? 但是 gitlab-ci 本身还是能被修改吧?
    superwater
        5
    superwater  
       2022-09-01 22:01:24 +08:00
    可以把.gitlab-ci.yaml 放到其他指定的仓库里面,项目设置里面可以指定
    yyttrr
        6
    yyttrr  
       2023-04-06 16:49:13 +08:00
    抛弃业务代码仓库的,gitlab-ci.yml 文件,或者仅保留基本 check build 功能
    自己写一个 http 服务接收业务代码仓库的 push 动作 webhook
    不同仓库的构建流程在运维平台维护写到数据库里面,运维平台有单独的权限设置
    触发了对应的打包在用 trigger 触发 build 仓库的 job ,把构建参数传进去,进行构建,build 仓库仅运维可见

    这一套支撑百来个研发十几个技术栈几千个代码仓库还是没问题的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4175 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 04:10 · PVG 12:10 · LAX 20:10 · JFK 23:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.