Recomendaciones estructurar proyectos de forma segura en la canalización

Más allá de la escala de recursos individuales, también debe tener en cuenta los grupos de recursos. En Azure DevOps, los recursos se agrupan por proyectos de equipo. Es importante comprender a qué recursos puede acceder la canalización en función de la configuración y la contención del proyecto.

Cada trabajo de la canalización recibe un token de acceso. Este token tiene permisos para leer recursos abiertos. En algunos casos, las canalizaciones también pueden actualizar esos recursos. En otras palabras, es posible que la cuenta de usuario no tenga acceso a un recurso determinado, pero los scripts y las tareas que se ejecutan en la canalización pueden tener acceso a ese recurso. El modelo de seguridad Azure DevOps también permite el acceso a estos recursos desde otros proyectos de la organización. Si decide cerrar el acceso a la canalización a algunos de estos recursos, la decisión se aplica a todas las canalizaciones de un proyecto. No se puede conceder acceso a un recurso abierto a una canalización específica.

Proyectos independientes

Dada la naturaleza de los recursos abiertos, debe considerar la posibilidad de administrar cada producto y equipo en un proyecto independiente. Esta práctica garantiza que una canalización de un producto no pueda acceder a recursos abiertos desde otro producto. De esta manera, evitará la exposición lateral. Cuando varios equipos o productos comparten un proyecto, no se pueden aislar granularmente sus recursos entre sí.

Si la Azure DevOps organización se creó antes de agosto de 2019, es posible que las ejecuciones puedan acceder a recursos abiertos en todos los proyectos de la organización. El administrador de la organización debe revisar una configuración de seguridad clave en Azure Pipelines que permita el aislamiento de proyectos para las canalizaciones. Puede encontrar esta configuración en configuración Azure DevOps organizaciónPipelinesConfiguración. O bien, vaya directamente a Azure DevOps ubicación: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings .

Screenshot of job authorization scope UI

Pasos siguientes

Después de configurar la estructura de proyecto adecuada, mejore la seguridad en tiempo de ejecución mediante plantillas.