<p dir="ltr">In regards to Jenkins we should be using credentials and injecting via credentials bindings to avoid this so the actual key is masked.  At a minimum you could use masked passwords and set an environment variable that way.  Then it does not show in the output. </p>
<div class="gmail_quote">On Apr 13, 2016 12:18 PM, "Karanbir Singh" <<a href="mailto:kbsingh@centos.org">kbsingh@centos.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
On 13/04/16 17:13, Colin Walters wrote:<br>
> Not that this really matters a lot since we can probably trust each<br>
> other right now not to use other's resources, but I noticed many<br>
> people end up leaking the API key publicly, e.g.<br>
> <a href="https://ci.centos.org/job/bstinson-centpkg-unittests/configure" rel="noreferrer" target="_blank">https://ci.centos.org/job/bstinson-centpkg-unittests/configure</a> and<br>
> <a href="https://ci.centos.org/job/adb-openshift-vagrantfile-tests/12/console" rel="noreferrer" target="_blank">https://ci.centos.org/job/adb-openshift-vagrantfile-tests/12/console</a><br>
><br>
><br>
and several others.<br>
><br>
> The two problems seem to be including the Python script raw as a<br>
> builder (which Jenkins exposes as public data), or injecting it as<br>
> an environment variable (which shows up in the Jenkins console<br>
> logs).<br>
><br>
> I created: <a href="https://github.com/kbsingh/centos-ci-scripts/pull/4" rel="noreferrer" target="_blank">https://github.com/kbsingh/centos-ci-scripts/pull/4</a> but<br>
> since there are many forks of this now, multiple groups will need<br>
> to change their copies too.<br>
<br>
Thanks, merged.<br>
<br>
Note that its not possible to use the api key from outside of the<br>
jenkins infra inside <a href="http://ci.centos.org" rel="noreferrer" target="_blank">ci.centos.org</a> ( but you have a good point about<br>
users:users trust, and quota etc )<br>
<br>
<br>
Regards<br>
<br>
<br>
- --<br>
Karanbir Singh, Project Lead, The CentOS Project<br>
<a href="tel:%2B44-207-0999389" value="+442070999389">+44-207-0999389</a> | <a href="http://www.centos.org/" rel="noreferrer" target="_blank">http://www.centos.org/</a> | <a href="http://twitter.com/CentOS" rel="noreferrer" target="_blank">twitter.com/CentOS</a><br>
GnuPG Key : <a href="http://www.karan.org/publickey.asc" rel="noreferrer" target="_blank">http://www.karan.org/publickey.asc</a><br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.22 (GNU/Linux)<br>
<br>
iQEcBAEBAgAGBQJXDnFpAAoJEI3Oi2Mx7xbtglcIAIq+yugkH56EyCheHHmCPMpC<br>
MsKycUOwRtdxizsxUiWkpoxH/lJzF3hnqiwhJs//M7zSPbFJVPac+A4i6dx/P++o<br>
Rie8dlSdw4FmJd1z0GbkrRuJc5GZOrzcvkrD3whi2lLZM1rRkMzeNF6rCq+OCaWW<br>
gud3hScXYG92RPiRBxzWrIlQp+K0zOXmO3WBhAYAXdwQa+WBYQ300dfO6+5MZWlh<br>
Z0nC1Xkg6CCPXBsRBzOyt6JwhStg0Lu++vAZeeOyQ50BGY+ncuLaOxNzpTuV8DTz<br>
L4FYHprRtPEfRxvpXo3vIjYMsT7ioMCp4RF/TPPSoWrSH8ikYxJlmlxob0d/4WM=<br>
=KrEg<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Ci-users mailing list<br>
<a href="mailto:Ci-users@centos.org">Ci-users@centos.org</a><br>
<a href="https://lists.centos.org/mailman/listinfo/ci-users" rel="noreferrer" target="_blank">https://lists.centos.org/mailman/listinfo/ci-users</a><br>
</blockquote></div>