Atlassian Bamboo derlemelerinde dosya sistemi erişimini nasıl kısıtlayabilirim?

Ubuntu'da çalışan Atlassian Bambu var. Bir geliştirici bir yapı oluştururken, kabuk komut dosyası görevlerini çalıştırma olanağına sahiptir. Bu, oluşturduğunuz kod tabanındaki (özel) komutları çalıştırmak için kullanışlıdır.

Ancak, çalıştırılan komut dosyaları dosya sistemine Bambu çalışma dizinindeki ( <Bamboo-home-dir>/xml-data/build-dir/JOB_KEY) iş dizinlerinin dışında da erişebilir . Yani JOB_A JOB_B erişim dosyaları da yapabilir: cd ../JOB_B.

Bu erişimi kısıtlama olasılığı var mı?

PS: Yapıların Bambu (yerel veya uzak) ajanlar tarafından işletildiğinin farkındayım ve farklı ajanlar tarafından farklı projeler inşa edebilirsiniz. Ancak, aynı temsilci tarafından iki proje oluşturulursa, projeler birbirlerinin dosyalarına erişebilir.

Şu anda aynı temsilci üzerinde çalışabilecek işleri birbirleriyle potansiyel olarak etkileşime sokmayı kısıtlama yeteneği yoktur. Bu tür ayrıntı düzeyi isteyen bir dizi özellik isteği var, ancak sorunuzu doğru anlarsam en uygun istek bu bir BAM-2504 Jira Bileti olacaktır.

Ürün hattında büyük bir boşluk var, bulduğum tek çözüm, yukarıda bağlantılı talep tarafından önerilene benziyor, aslında bambu işleminizin, projeleri temsil eden bir dizi kullanıcıyı taklit etmek için yeterli ayrıcalıklarla çalışması gerekiyordu. ayrı kalmak istersiniz.

Bu tür bir mekanizmayı yerine getirdikten sonra, örneğin, projeye veya yaratıcıya vb. Bağlı olarak, tüm planların kimliğine bürünemez hesaplardan biri olarak çalışmasını zorunlu kılmaya çalışmanız gerekir.

Sorunlu olarak, erişim denetimlerinin şu anda mevcut olması, bu, birkaç çekirdek yöneticinin, yönetim dışı kullanıcıların kendi planlarını düzenlemesine ve oluşturmasına izin vermek yerine gerekli izinlerin bölünmesinden emin olabilmeleri için tüm planları ayarlaması gerektiği anlamına gelir.

Bu tür bir yaklaşım mümkün değilse, "yüzlerce kullanıcı" türüne girdiğinizde değil, o zaman gerçekten işleri inşa etmenin birbirleriyle etkileşim kurmasını durdurmak için yapabileceğiniz tek şey Bambu'nın size verdiği çok zayıf kontroller.

Bunu yapmak için iki yaklaşım denedim:

1. Yerel temsilcilerinizi silin veya sakatlayın (tüm yetenekleri kaldırın) ve her farklı proje / ekip / bambu tahtanızdaki her şey için onları BYO derleme sunucusuna zorlamanız gerekir. Çoğu durumda, bir ajanın maliyetine dahil olduğum potansiyel veri sızıntısı veya kötü niyetli plan etkileşimlerinin maliyeti ile karşılaştırıldığında tamamen önemsizdir.
2. Planlarında yer alan hassas verilere sahip veya sahip olduklarını düşünen projelerin, derlendikten sonra ortamlarını her zaman temizlediğinden emin olun. Bu, araçları yöneten ekibin yükünü ve planlarını yazan projelere kaydırır ve potansiyel olarak başkaları tarafından ulaşılmasını istemedikleri bilgileri savunmaya temizlemeye zorlar.

Her iki çözüm de mükemmele yakın değil, ancak bilgim dahilinde paylaşılan bir bambu örneğiniz varsa uygulayabileceğiniz kadar ayrılık anlamına geliyor.