Microsoft MVP성태의 닷넷 이야기
글쓴 사람
정성태 (techsharer at outlook.com)
홈페이지
첨부 파일
 

Azure Devops의 파이프라인 빌드 시 snk 파일 다루는 방법 - Secure file

github에 repo를 (Public으로) 공개한 프로젝트이고, 그것을 Azure Devops에 연결해 빌드하려는 경우를 가정해 보겠습니다. 이런 프로젝트에서 snk를 사용한 서명을 포함한다면 어떻게 될까요?

일반적으로 서명에 사용하는 snk 파일은 '공개 프로젝트'의 성격상 함께 프로젝트 파일에 포함하는 것도 좋은 선택입니다. 그리고 그런 경우에는 Azure devops의 빌드 파이프라인에서 문제 될 것이 없습니다. 하지만, 프로젝트는 공개하지만 빌드 결과물에는 자신만의 snk 파일로 서명하고 싶다면 어떻게 될까요? (일례로, .NET Core 프로젝트가 그런 경우입니다.) 이럴 때는 snk 파일을 github repo에서 누락시켰을 것이고 따라서 Azure devops에서 빌드하면 다음과 같은 오류가 발생하게 될 것입니다.

2021-01-24T23:14:21.3374870Z   Using shared compilation with compiler from directory: C:\Program Files (x86)\Microsoft Visual Studio\2019\Enterprise\MSBuild\Current\Bin\Roslyn
2021-01-24T23:14:21.5205702Z ##[error]CSC(0,0): Error CS7027: Error signing output with public key from file '..\..\test.snk' -- File not found.
2021-01-24T23:14:21.5212091Z CSC : error CS7027: Error signing output with public key from file '..\..\test.snk' -- File not found. [D:\a\1\s\UserAgentSelector\UserAgentSelector.csproj]

이것을 해결하려면 2가지 선택을 할 수 있습니다. 우선, 단순히 빌드 파이프라인의 목적이 CI를 위한 것이라면, 즉 빌드 성공 여부만이 목적이라면 snk 처리를 조건 설정으로 제거하면 됩니다. 전에 설명했던 데로,

Azure Devops - 파이프라인 실행 시 빌드 이벤트를 생략하는 방법
; https://www.sysnet.pe.kr/2/0/12525

Azure devops 환경이라는 플래그를 하나 심어두고,

trigger:
- main

pool:
  vmImage: 'windows-latest'

variables:
  solution: '**/*.sln'
  buildPlatform: 'Any CPU'
  buildConfiguration: 'Release'
  azureDevopsBuild: true

...[생략]...

csproj의 어셈블리 서명을 제어하면 됩니다.

<PropertyGroup Condition=" '$(azureDevopsBuild)' == '' " >
    <SignAssembly>true</SignAssembly>
</PropertyGroup>

이후 빌드는 잘 될 테지만, 별도의 snk 서명한 바이너리 배포는 따로 빌드 절차를 만들어야 합니다.




그런데 CI/CD 모두를 위한 것이라면, 즉 빌드 성공은 물론이고 이를 기반으로 배포까지 염두에 둔다면 어떻게 해야 할까요? 어쨌든 snk 파일을 github에 공유할 수는 없고 빌드에는 사용해야 하는데요. 바로 이런 상황에서 쓸 수 있는 것이 "Secure file"입니다.

azure_devops_secure_file_1.png

위와 같이 "Pipelines"의 "Library"를 통해 "Secure files"에 snk 파일을 업로드한 이후, azure-pipelines.yml에서 다음과 같이 빌드 전에 보안 파일을 다운로드해 정상적인 빌드가 가능하도록 처리를 하면 됩니다.

trigger:
- main

pool:
  vmImage: 'windows-latest'

variables:
  solution: '**/*.sln'
  buildPlatform: 'Any CPU'
  buildConfiguration: 'Release'

steps:
- task: DownloadSecureFile@1
  name: downloadSnk
  displayName: 'Download SNK'
  inputs:
    secureFile: 'test.snk'

- script: |
    echo copy $(downloadSnk.secureFilePath) to $(Build.Repository.LocalPath)\..
    copy /y $(downloadSnk.secureFilePath) $(Build.Repository.LocalPath)\..

- task: NuGetToolInstaller@1

...[생략]...

위의 경우 script에서 secure file을 별도의 경로에 복사하고 있는데 이것은 여러분들의 csproj에 추가한 서명 파일의 경로에 맞게 조정하면 됩니다. 제 경우에는 서명 파일을,

<PropertyGroup>
    <AssemblyOriginatorKeyFile>..\..\test.snk</AssemblyOriginatorKeyFile>
</PropertyGroup>

솔루션(.sln) 파일이 있는 폴더의 상위에 있는 경로에서 가져오도록 지정했기 때문에 "$(Build.Repository.LocalPath)\.."로 지정한 것입니다.




참고로, 이렇게 설정하고 빌드 파이프라인을 구동하면 빌드가 다음의 메시지와 함께 멈춰 있는 것을 확인할 수 있습니다.

azure_devops_secure_file_2.png

This pipeline needs permission to access a resource before this run can continue

이것은 Secure file에 대한 접근 권한이 없기 때문으로, 그냥 위의 메시지가 나온 화면에서 우측의 "View" 버튼을 눌러 나오는 화면에서 "Permit" 버튼을 눌러 권한 허용을 하는 것으로 해결할 수 있습니다. (또는, "Pipelines"의 "Library" / "Secure files" 목록에 있는 항목에 대해 보안 권한을 변경할 수 있습니다.)




Secure file 저장소가 재미있는 것은, 업로드 후 다운로드를 할 수 없다는 점입니다. 즉, 오직 빌드 스크립트 내에서만 접근할 수 있는 것입니다. 이로 인해 같은 Azure Devops를 사용하는 멤버들 간에도 안전함을 보장받을 수 있는데요. 그렇다고 이것을 100% 안전하다고 할 수는 없습니다.

직접적으로 해보진 않았지만, 어차피 msbuild 스크립트에서 다양한 작업들을 수행할 수 있으므로 빌드 머신에 복사된 snk 파일을 어떤 식으로든 복사하는 작업을 수행하는 것이 가능할 것이기 때문입니다. 따라서, snk와 같은 민감한 보안 파일이 포함된 프로젝트의 관리자라면, csproj처럼 빌드 과정에 실행되는 스크립트를 포함한 파일 등의 PR 요청에 대해서는 아주 꼼꼼하게 변경 내용을 살펴야 합니다.




[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[연관 글]


donaricano-btn



[최초 등록일: ]
[최종 수정일: 2/1/2021]

Creative Commons License
이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.
by SeongTae Jeong, mailto:techsharer at outlook.com

비밀번호

댓글 쓴 사람
 




1  2  3  4  5  6  7  8  9  10  11  12  [13]  14  15  ...
NoWriterDateCnt.TitleFile(s)
12551정성태3/5/2021662오류 유형: 702. 비주얼 스튜디오 - The 'CascadePackage' package did not load correctly. (2)
12550정성태3/5/2021603오류 유형: 701. Live Share 1.0.3713.0 버전을 1.0.3884.0으로 업데이트 이후 ContactServiceModelPackage 오류 발생하는 문제
12549정성태3/4/2021633오류 유형: 700. VsixPublisher를 이용한 등록 시 다양한 오류 유형 해결책
12548정성태3/4/2021678개발 환경 구성: 546. github workflow/actions에서 nuget 패키지 등록하는 방법
12547정성태3/3/2021903오류 유형: 699. 비주얼 스튜디오 - The 'CascadePackage' package did not load correctly.
12546정성태3/3/2021765개발 환경 구성: 545. github workflow/actions에서 빌드시 snk 파일 다루는 방법 - Encrypted secrets
12545정성태3/2/20211509.NET Framework: 1026. 닷넷 5에 추가된 POH (Pinned Object Heap) [7]
12544정성태2/26/20211169.NET Framework: 1025. C# - Control의 Invalidate, Update, Refresh 차이점 [2]
12543정성태2/26/20211118VS.NET IDE: 158. C# - 디자인 타임(design-time)과 런타임(runtime)의 코드 실행 구분
12542정성태2/20/20211264개발 환경 구성: 544. github repo의 Release 활성화 및 Actions를 이용한 자동화 방법
12541정성태2/18/2021993개발 환경 구성: 543. 애저듣보잡 - Github Workflow/Actions 소개
12540정성태2/17/2021991.NET Framework: 1024. C# - Win32 API에 대한 P/Invoke를 대신하는 Microsoft.Windows.CsWin32 패키지
12539정성태2/16/20211077Windows: 189. WM_TIMER의 동작 방식 개요파일 다운로드1
12538정성태2/15/20211273.NET Framework: 1023. C# - GC 힙이 아닌 Native 힙에 인스턴스 생성 - 0SuperComicLib.LowLevel 라이브러리 소개 [2]
12537정성태2/11/20211366.NET Framework: 1022. UI 요소의 접근은 반드시 그 UI를 만든 스레드에서! - 두 번째 이야기
12536정성태2/9/20211309개발 환경 구성: 542. BDP(Bandwidth-delay product)와 TCP Receive Window
12535정성태2/9/2021907개발 환경 구성: 541. Wireshark로 확인하는 LSO(Large Send Offload), RSC(Receive Segment Coalescing) 옵션
12534정성태2/8/20211223개발 환경 구성: 540. Wireshark + C/C++로 확인하는 TCP 연결에서의 closesocket 동작 [1]파일 다운로드1
12533정성태2/8/20211189개발 환경 구성: 539. Wireshark + C/C++로 확인하는 TCP 연결에서의 shutdown 동작파일 다운로드1
12532정성태2/6/20211057개발 환경 구성: 538. Wireshark + C#으로 확인하는 ReceiveBufferSize(SO_RCVBUF), SendBufferSize(SO_SNDBUF) [1]
12531정성태2/5/2021941개발 환경 구성: 537. Wireshark + C#으로 확인하는 PSH flag와 Nagle 알고리듬파일 다운로드1
12530정성태2/4/20211402개발 환경 구성: 536. Wireshark + C#으로 확인하는 TCP 통신의 Receive Window
12529정성태2/4/20211012개발 환경 구성: 535. Wireshark + C#으로 확인하는 TCP 통신의 MIN RTO [1]
12528정성태2/1/20211082개발 환경 구성: 534. Wireshark + C#으로 확인하는 TCP 통신의 MSS(Maximum Segment Size) - 윈도우 환경
12527정성태2/1/20211067개발 환경 구성: 533. Wireshark + C#으로 확인하는 TCP 통신의 MSS(Maximum Segment Size) - 리눅스 환경파일 다운로드1
12526정성태2/1/2021861개발 환경 구성: 532. Azure Devops의 파이프라인 빌드 시 snk 파일 다루는 방법 - Secure file
1  2  3  4  5  6  7  8  9  10  11  12  [13]  14  15  ...