Jenkins CI Pipeline Scriptlerinin groovy.lang.GroovyObject yöntemini kullanmasına izin verilmez

Java Projelerini derlemek için Jenkins 2 kullanıyorum, sürümü bir pom.xml'den okumak istiyorum, şu örneği takip ediyordum:

https://github.com/jenkinsci/pipeline-plugin/blob/master/TUTORIAL.md

Örnek şunları önermektedir:

Görünüşe göre Dosya Sistemine erişimde bazı güvenlik sorunları var, ancak sorunun ne (veya neden) olduğunu çözemiyorum:

Örnekten biraz farklı yapıyorum:

def version() {
    String path = pwd();
    def matcher = readFile("${path}/pom.xml") =~ '<version>(.+)</version>'
    return matcher ? matcher[0][1] : null
}

'Sürüm' yöntemini çalıştırırken aldığım Hata:

org.jenkinsci.plugins.scriptsecurity.sandbox.RejectedAccessException: Scripts not permitted to use method groovy.lang.GroovyObject invokeMethod java.lang.String java.lang.Object (org.codehaus.groovy.runtime.GStringImpl call org.codehaus.groovy.runtime.GStringImpl)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.whitelists.StaticWhitelist.rejectMethod(StaticWhitelist.java:165)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SandboxInterceptor.onMethodCall(SandboxInterceptor.java:117)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SandboxInterceptor.onMethodCall(SandboxInterceptor.java:103)
    at org.kohsuke.groovy.sandbox.impl.Checker$1.call(Checker.java:149)
    at org.kohsuke.groovy.sandbox.impl.Checker.checkedCall(Checker.java:146)
    at com.cloudbees.groovy.cps.sandbox.SandboxInvoker.methodCall(SandboxInvoker.java:15)
    at WorkflowScript.run(WorkflowScript:71)
    at ___cps.transform___(Native Method)
    at com.cloudbees.groovy.cps.impl.ContinuationGroup.methodCall(ContinuationGroup.java:55)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:106)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:601)
    at com.cloudbees.groovy.cps.impl.ContinuationPtr$ContinuationImpl.receive(ContinuationPtr.java:72)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:100)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:601)
    at com.cloudbees.groovy.cps.impl.ContinuationPtr$ContinuationImpl.receive(ContinuationPtr.java:72)
    at com.cloudbees.groovy.cps.impl.ContinuationGroup.methodCall(ContinuationGroup.java:57)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:106)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)

Şu sürümleri kullanıyorum: Plugin Pipeline 2.1 Jenkins 2.2

Hızlı düzeltme

Benzer bir sorun yaşadım ve aşağıdakileri yaparak çözdüm

1. Jenkins> jenkins'i yönet> İşlem İçi Komut Dosyası Onayı'na gidin
2. Onaylamam gereken bekleyen bir komut vardı.

Alternatif 1: Korumalı alanı devre dışı bırakın

Bu makalede ayrıntılı olarak açıklandığı gibi, harika komut dosyaları varsayılan olarak korumalı alan modunda çalıştırılır. Bu, harika yöntemlerin bir alt kümesinin yönetici onayı olmadan çalışmasına izin verildiği anlamına gelir. Sandbox modunda olmayan komut dosyalarını çalıştırmak da mümkündür, bu da tüm komut dosyasının bir defada bir yönetici tarafından onaylanması gerektiği anlamına gelir. Bu, kullanıcıların o anda her satırı onaylamasını engeller.

Komut dosyalarını korumalı alan olmadan çalıştırmak, komut dosyanızın hemen altındaki proje yapılandırmanızdaki bu onay kutusunun işaretini kaldırarak yapılabilir:

Alternatif 2: Komut dosyası güvenliğini devre dışı bırakın

Bu makalede açıklandığı gibi komut dosyası güvenliğini tamamen devre dışı bırakmak da mümkündür. Önce izin verilen komut dosyası güvenlik eklentisini kurun ve bundan sonra jenkins.xml dosyanızı değiştirdikten sonra şu argümanı ekleyin:

-Dpermissive-script-security.enabled = true

Yani siz jenkins.xml şunun gibi görünecek:

<executable>..bin\java</executable>
<arguments>-Dpermissive-script-security.enabled=true -Xrs -Xmx4096m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" --httpPort=80 --webroot="%BASE%\war"</arguments>

Bunu uygularsanız ne yaptığınızı bildiğinizden emin olun!

İş yapılandırmanızda Groovy için korumalı alanı devre dışı bırakmanız gerekir.

Şu anda bu, harika betiğin scm'den geldiği çok dallı projeler için mümkün değildir. Daha fazla bilgi için bkz. Https://issues.jenkins-ci.org/browse/JENKINS-28178

UserInput'taki kullanıcı-girdi parametrelerinin sayısını 3'ten 1'e düşürdüğümde bununla karşılaştım. Bu, userInput'un değişken çıktı türünü bir diziden bir ilkele değiştirdi.

Misal:

myvar1 = userInput['param1']
myvar2 = userInput['param2']

to:

myvar = userInput

SCM'de depolanan Groovy komut dosyalarının korumalı alanlarını aşmak için, komut dosyasını Groovy Komut olarak çalıştırmanızı öneririm ( Groovy Komut Dosyası dosyası yerine ):

import hudson.FilePath
final GROOVY_SCRIPT = "workspace/relative/path/to/the/checked/out/groovy/script.groovy"

evaluate(new FilePath(build.workspace, GROOVY_SCRIPT).read().text)

böyle bir durumda, harika komut dosyası çalışma alanından bir system Groovy Script. Test ortamı uzun olduğunca bastırılır Kullanım Groovy Sandbox değil kontrol .