Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

Azure Devops의 파이프라인 빌드 시 snk 파일 다루는 방법 - Secure file

github에 repo를 (Public으로) 공개한 프로젝트이고, 그것을 Azure Devops에 연결해 빌드하려는 경우를 가정해 보겠습니다. 이런 프로젝트에서 snk를 사용한 서명을 포함한다면 어떻게 될까요?

일반적으로 서명에 사용하는 snk 파일은 '공개 프로젝트'의 성격상 함께 프로젝트 파일에 포함하는 것도 좋은 선택입니다. 그리고 그런 경우에는 Azure devops의 빌드 파이프라인에서 문제 될 것이 없습니다. 하지만, 프로젝트는 공개하지만 빌드 결과물에는 자신만의 snk 파일로 서명하고 싶다면 어떻게 될까요? (일례로, .NET Core 프로젝트가 그런 경우입니다.) 이럴 때는 snk 파일을 github repo에서 누락시켰을 것이고 따라서 Azure devops에서 빌드하면 다음과 같은 오류가 발생하게 될 것입니다.

2021-01-24T23:14:21.3374870Z   Using shared compilation with compiler from directory: C:\Program Files (x86)\Microsoft Visual Studio\2019\Enterprise\MSBuild\Current\Bin\Roslyn
2021-01-24T23:14:21.5205702Z ##[error]CSC(0,0): Error CS7027: Error signing output with public key from file '..\..\test.snk' -- File not found.
2021-01-24T23:14:21.5212091Z CSC : error CS7027: Error signing output with public key from file '..\..\test.snk' -- File not found. [D:\a\1\s\UserAgentSelector\UserAgentSelector.csproj]

이것을 해결하려면 2가지 선택을 할 수 있습니다. 우선, 단순히 빌드 파이프라인의 목적이 CI를 위한 것이라면, 즉 빌드 성공 여부만이 목적이라면 snk 처리를 조건 설정으로 제거하면 됩니다. 전에 설명했던 데로,

Azure Devops - 파이프라인 실행 시 빌드 이벤트를 생략하는 방법
; https://www.sysnet.pe.kr/2/0/12525

Azure devops 환경이라는 플래그를 하나 심어두고,

trigger:
- main

pool:
  vmImage: 'windows-latest'

variables:
  solution: '**/*.sln'
  buildPlatform: 'Any CPU'
  buildConfiguration: 'Release'
  azureDevopsBuild: true

...[생략]...

csproj의 어셈블리 서명을 제어하면 됩니다.

<PropertyGroup Condition=" '$(azureDevopsBuild)' == '' " >
    <SignAssembly>true</SignAssembly>
</PropertyGroup>

이후 빌드는 잘 될 테지만, 별도의 snk 서명한 바이너리 배포는 따로 빌드 절차를 만들어야 합니다.




그런데 CI/CD 모두를 위한 것이라면, 즉 빌드 성공은 물론이고 이를 기반으로 배포까지 염두에 둔다면 어떻게 해야 할까요? 어쨌든 snk 파일을 github에 공유할 수는 없고 빌드에는 사용해야 하는데요. 바로 이런 상황에서 쓸 수 있는 것이 "Secure file"입니다.

azure_devops_secure_file_1.png

위와 같이 "Pipelines"의 "Library"를 통해 "Secure files"에 snk 파일을 업로드한 이후, azure-pipelines.yml에서 다음과 같이 빌드 전에 보안 파일을 다운로드해 정상적인 빌드가 가능하도록 처리를 하면 됩니다.

trigger:
- main

pool:
  vmImage: 'windows-latest'

variables:
  solution: '**/*.sln'
  buildPlatform: 'Any CPU'
  buildConfiguration: 'Release'

steps:
- task: DownloadSecureFile@1
  name: downloadSnk
  displayName: 'Download SNK'
  inputs:
    secureFile: 'test.snk'

- script: |
    echo copy $(downloadSnk.secureFilePath) to $(Build.Repository.LocalPath)\..
    copy /y $(downloadSnk.secureFilePath) $(Build.Repository.LocalPath)\..

- task: NuGetToolInstaller@1

...[생략]...

위의 경우 script에서 secure file을 별도의 경로에 복사하고 있는데 이것은 여러분들의 csproj에 추가한 서명 파일의 경로에 맞게 조정하면 됩니다. 제 경우에는 서명 파일을,

<PropertyGroup>
    <AssemblyOriginatorKeyFile>..\..\test.snk</AssemblyOriginatorKeyFile>
</PropertyGroup>

솔루션(.sln) 파일이 있는 폴더의 상위에 있는 경로에서 가져오도록 지정했기 때문에 "$(Build.Repository.LocalPath)\.."로 지정한 것입니다.




참고로, 이렇게 설정하고 빌드 파이프라인을 구동하면 빌드가 다음의 메시지와 함께 멈춰 있는 것을 확인할 수 있습니다.

azure_devops_secure_file_2.png

This pipeline needs permission to access a resource before this run can continue

이것은 Secure file에 대한 접근 권한이 없기 때문으로, 그냥 위의 메시지가 나온 화면에서 우측의 "View" 버튼을 눌러 나오는 화면에서 "Permit" 버튼을 눌러 권한 허용을 하는 것으로 해결할 수 있습니다. (또는, "Pipelines"의 "Library" / "Secure files" 목록에 있는 항목에 대해 보안 권한을 변경할 수 있습니다.)




Secure file 저장소가 재미있는 것은, 업로드 후 다운로드를 할 수 없다는 점입니다. 즉, 오직 빌드 스크립트 내에서만 접근할 수 있는 것입니다. 이로 인해 같은 Azure Devops를 사용하는 멤버들 간에도 안전함을 보장받을 수 있는데요. 그렇다고 이것을 100% 안전하다고 할 수는 없습니다.

직접적으로 해보진 않았지만, 어차피 msbuild 스크립트에서 다양한 작업들을 수행할 수 있으므로 빌드 머신에 복사된 snk 파일을 어떤 식으로든 복사하는 작업을 수행하는 것이 가능할 것이기 때문입니다. 따라서, snk와 같은 민감한 보안 파일이 포함된 프로젝트의 관리자라면, csproj처럼 빌드 과정에 실행되는 스크립트를 포함한 파일 등의 PR 요청에 대해서는 아주 꼼꼼하게 변경 내용을 살펴야 합니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 2/1/2021

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  6  7  8  9  10  [11]  12  13  14  15  ...
NoWriterDateCnt.TitleFile(s)
12484정성태1/9/2021992.NET Framework: 1002. C# - ReadOnlySequence<T> 소개파일 다운로드1
12483정성태1/8/2021892개발 환경 구성: 521. dotPeek - 훌륭한 역어셈블 소스 코드 생성 도구
12482정성태1/8/2021775.NET Framework: 1001. C# - 제네릭 타입/메서드에서 사용 시 경우에 따라 CS8377 컴파일 에러
12481정성태1/7/2021720.NET Framework: 1000. C# - CS8344 컴파일 에러: ref struct 타입의 사용 제한 메서드파일 다운로드1
12480정성태1/6/20211175.NET Framework: 999. C# - ArrayPool<T>와 MemoryPool<T> 소개파일 다운로드1
12479정성태1/6/2021811.NET Framework: 998. C# - OWIN 예제 프로젝트 만들기
12478정성태1/5/2021963.NET Framework: 997. C# - ArrayPool<T> 소개파일 다운로드1
12477정성태1/5/20211715기타: 79. github 코드 검색 방법 [1]
12476정성태1/5/20211033.NET Framework: 996. C# - 닷넷 코어에서 다른 스레드의 callstack을 구하는 방법파일 다운로드1
12475정성태1/5/20211045.NET Framework: 995. C# - Span<T>와 Memory<T> [1]파일 다운로드1
12474정성태1/4/2021889.NET Framework: 994. C# - (.NET Core 2.2부터 가능한) 프로세스 내부에서 CLR ETW 이벤트 수신파일 다운로드1
12473정성태1/4/2021995.NET Framework: 993. .NET 런타임에 따라 달라지는 정적 필드의 초기화 유무 [1]파일 다운로드1
12472정성태1/3/2021919디버깅 기술: 178. windbg - 디버그 시작 시 스크립트 실행
12471정성태1/1/20211015.NET Framework: 992. C# - .NET Core 3.0 이상부터 제공하는 runtimeOptions의 rollForward 옵션
12470정성태12/30/20201080.NET Framework: 991. .NET 5 응용 프로그램에서 WinRT API 호출 [1]파일 다운로드1
12469정성태12/30/20201245.NET Framework: 990. C# - SendInput Win32 API를 이용한 가상 키보드/마우스파일 다운로드1
12468정성태12/30/2020858Windows: 186. CMD Shell의 "Defaults"와 "Properties"에서 폰트 정보가 다른 문제
12467정성태12/29/20201044.NET Framework: 989. HttpContextAccessor를 통해 이해하는 AsyncLocal<T> [1]파일 다운로드1
12466정성태12/29/20201207.NET Framework: 988. C# - 지연 실행이 꼭 필요한 상황이 아니라면 singleton 패턴에서 DCLP보다는 static 초기화를 권장파일 다운로드1
12465정성태12/29/20201057.NET Framework: 987. .NET Profiler - FunctionID와 연관된 ClassID를 구할 수 없는 문제
12464정성태12/29/20201127.NET Framework: 986. pptfont.exe - PPT 파일에 숨겨진 폰트 설정을 일괄 삭제
12463정성태12/29/2020994개발 환경 구성: 520. RDP(mstsc.exe)의 다중 모니터 옵션 /multimon, /span
12462정성태12/27/20201006디버깅 기술: 177. windbg - (ASP.NET 환경에서 유용한) netext 확장
12461정성태12/21/20201660.NET Framework: 985. .NET 코드 리뷰 팁 [3]
12460정성태12/18/20201323기타: 78. 도서 소개 - C#으로 배우는 암호학
12459정성태12/16/2020935Linux: 35. C# - 리눅스 환경에서 클라이언트 소켓의 ephemeral port 재사용파일 다운로드1
1  2  3  4  5  6  7  8  9  10  [11]  12  13  14  15  ...