Jenkins CI Pipeline Script ไม่อนุญาตให้ใช้เมธอด groovy.lang.GroovyObject

ฉันใช้ Jenkins 2 เพื่อรวบรวม Java Projects ฉันต้องการอ่านเวอร์ชันจาก pom.xml ฉันทำตามตัวอย่างนี้:

https://github.com/jenkinsci/pipeline-plugin/blob/master/TUTORIAL.md

ตัวอย่างแนะนำ:

ดูเหมือนว่าจะมีปัญหาด้านความปลอดภัยในการเข้าถึงระบบไฟล์ แต่ฉันไม่สามารถเข้าใจได้ว่ามันให้อะไร (หรือทำไม) ปัญหานั้น:

ฉันแค่ทำแตกต่างจากตัวอย่างเล็กน้อย:

def version() {
    String path = pwd();
    def matcher = readFile("${path}/pom.xml") =~ '<version>(.+)</version>'
    return matcher ? matcher[0][1] : null
}

ข้อผิดพลาดที่ฉันได้รับเมื่อเรียกใช้เมธอด 'เวอร์ชัน':

org.jenkinsci.plugins.scriptsecurity.sandbox.RejectedAccessException: Scripts not permitted to use method groovy.lang.GroovyObject invokeMethod java.lang.String java.lang.Object (org.codehaus.groovy.runtime.GStringImpl call org.codehaus.groovy.runtime.GStringImpl)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.whitelists.StaticWhitelist.rejectMethod(StaticWhitelist.java:165)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SandboxInterceptor.onMethodCall(SandboxInterceptor.java:117)
    at org.jenkinsci.plugins.scriptsecurity.sandbox.groovy.SandboxInterceptor.onMethodCall(SandboxInterceptor.java:103)
    at org.kohsuke.groovy.sandbox.impl.Checker$1.call(Checker.java:149)
    at org.kohsuke.groovy.sandbox.impl.Checker.checkedCall(Checker.java:146)
    at com.cloudbees.groovy.cps.sandbox.SandboxInvoker.methodCall(SandboxInvoker.java:15)
    at WorkflowScript.run(WorkflowScript:71)
    at ___cps.transform___(Native Method)
    at com.cloudbees.groovy.cps.impl.ContinuationGroup.methodCall(ContinuationGroup.java:55)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:106)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:601)
    at com.cloudbees.groovy.cps.impl.ContinuationPtr$ContinuationImpl.receive(ContinuationPtr.java:72)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:100)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
    at java.lang.reflect.Method.invoke(Method.java:601)
    at com.cloudbees.groovy.cps.impl.ContinuationPtr$ContinuationImpl.receive(ContinuationPtr.java:72)
    at com.cloudbees.groovy.cps.impl.ContinuationGroup.methodCall(ContinuationGroup.java:57)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.dispatchOrArg(FunctionCallBlock.java:106)
    at com.cloudbees.groovy.cps.impl.FunctionCallBlock$ContinuationImpl.fixArg(FunctionCallBlock.java:79)
    at sun.reflect.GeneratedMethodAccessor408.invoke(Unknown Source)

ฉันกำลังใช้เวอร์ชันเหล่านี้: Plugin Pipeline 2.1 Jenkins 2.2

Quickfix

ฉันมีปัญหาที่คล้ายกันและฉันแก้ไขได้โดยทำดังต่อไปนี้

1. ไปที่เจนกินส์> จัดการเจนกินส์> การอนุมัติสคริปต์ในกระบวนการ
2. มีคำสั่งรอดำเนินการซึ่งฉันต้องอนุมัติ

ทางเลือกที่ 1: ปิดการใช้งานแซนด์บ็อกซ์

ตามที่บทความนี้อธิบายในเชิงลึกสคริปต์ groovy จะทำงานในโหมดแซนด์บ็อกซ์ตามค่าเริ่มต้น ซึ่งหมายความว่าส่วนย่อยของวิธีการ groovy ได้รับอนุญาตให้ทำงานโดยไม่ได้รับการอนุมัติจากผู้ดูแลระบบ นอกจากนี้ยังสามารถเรียกใช้สคริปต์ที่ไม่ได้อยู่ในโหมดแซนด์บ็อกซ์ซึ่งหมายความว่าสคริปต์ทั้งหมดต้องได้รับการอนุมัติจากผู้ดูแลระบบพร้อมกัน ซึ่งทำให้ผู้ใช้ไม่สามารถอนุมัติแต่ละบรรทัดได้ในขณะนั้น

การเรียกใช้สคริปต์โดยไม่ใช้แซนด์บ็อกซ์สามารถทำได้โดยการยกเลิกการเลือกช่องทำเครื่องหมายนี้ในการกำหนดค่าโครงการของคุณด้านล่างสคริปต์ของคุณ:

ทางเลือกที่ 2: ปิดใช้งานความปลอดภัยของสคริปต์

ตามที่บทความนี้อธิบายไว้คุณสามารถปิดใช้งานการรักษาความปลอดภัยสคริปต์ได้ ขั้นแรกให้ติดตั้งปลั๊กอินความปลอดภัยสคริปต์ที่อนุญาตและหลังจากนั้นเปลี่ยนไฟล์ jenkins.xml ของคุณเพิ่มอาร์กิวเมนต์นี้:

-Dpermissive-script-security.enabled = true

ดังนั้นคุณ jenkins.xml จะมีลักษณะดังนี้:

<executable>..bin\java</executable>
<arguments>-Dpermissive-script-security.enabled=true -Xrs -Xmx4096m -Dhudson.lifecycle=hudson.lifecycle.WindowsServiceLifecycle -jar "%BASE%\jenkins.war" --httpPort=80 --webroot="%BASE%\war"</arguments>

ให้แน่ใจว่าคุณรู้ว่าคุณกำลังทำอะไรหากคุณใช้สิ่งนี้!

คุณต้องปิดใช้งาน Sandbox สำหรับ Groovy ในการกำหนดค่างานของคุณ

ขณะนี้ยังไม่สามารถทำได้สำหรับโครงการหลายสาขาที่สคริปต์ groovy มาจาก scm ดูข้อมูลเพิ่มเติมได้ที่https://issues.jenkins-ci.org/browse/JENKINS-28178

ฉันพบสิ่งนี้เมื่อฉันลดจำนวนพารามิเตอร์อินพุตผู้ใช้ใน userInput จาก 3 เป็น 1 สิ่งนี้เปลี่ยนประเภทเอาต์พุตตัวแปรของ userInput จากอาร์เรย์เป็นแบบดั้งเดิม

ตัวอย่าง:

myvar1 = userInput['param1']
myvar2 = userInput['param2']

ถึง:

myvar = userInput

เพื่อหลีกเลี่ยงการแซนด์บ็อกซ์ของ SCM สคริปต์ Groovy ที่เก็บไว้ฉันขอแนะนำให้เรียกใช้สคริปต์เป็นGroovy Command (แทนไฟล์ Groovy Script ):

import hudson.FilePath
final GROOVY_SCRIPT = "workspace/relative/path/to/the/checked/out/groovy/script.groovy"

evaluate(new FilePath(build.workspace, GROOVY_SCRIPT).read().text)

ในกรณีนี้สคริปต์ groovy จะถูกถ่ายโอนจากพื้นที่ทำงานไปยัง Jenkins Master ซึ่งสามารถเรียกใช้เป็นไฟล์system Groovy Script. sandboxing ถูกระงับตราบใดที่ใช้ Groovy Sandboxไม่ได้ตรวจสอบ