Otras consideraciones de seguridad

  • Artículo
  • 2 minutos para leer

Hay algunas otras cosas que debe tener en cuenta al proteger las canalizaciones.

Basarse en PATH

Confiar en la configuración del PATH agente es peligroso. Es posible que no apunte donde cree que sí, ya que un script o herramienta anterior podría haberla modificado. Para scripts y archivos binarios críticos para la seguridad, use siempre una ruta de acceso completa al programa.

Registro de secretos

Azure Pipelines de limpiar secretos de los registros siempre que sea posible. Este filtrado se hace en función del mejor esfuerzo y no puede detectar todas las maneras en que se pueden filtrar secretos. Evite hacer eco de secretos en la consola, usarlos en parámetros de línea de comandos o registrarlos en archivos.

Bloqueo de contenedores

Los contenedores tienen unas cuantas asignaciones de montajes de volumen proporcionadas por el sistema en las tareas, el área de trabajo y los componentes externos necesarios para comunicarse con el agente host. Puede marcar cualquiera o todos estos volúmenes de solo lectura.

resources:
  containers:
  - container: example
    image: ubuntu:18.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

La mayoría de las personas deben marcar las tres primeras de solo lectura y salir work como de lectura y escritura. Si sabe que no escribirá en el directorio de trabajo en un trabajo o paso determinados, siga adelante y haga que también sea work de solo lectura. Si tiene tareas en la canalización que se modifican por sí mismo, es posible que tenga que dejar la tasks lectura y escritura.

Control de las tareas disponibles

Puede deshabilitar la capacidad de instalar y ejecutar tareas desde Marketplace. Esto le permitirá tener un mayor control sobre el código que se ejecuta en una canalización. También puede deshabilitar todas las tareas incluidas (excepto Checkout, que es una acción especial en el agente). Se recomienda que no deshabilite las tareas en la mayoría de las circunstancias.

Las tareas instaladas directamente con tfx siempre están disponibles. Con ambas características habilitadas, solo están disponibles esas tareas.

Uso del servicio de auditoría

Se registran varios eventos de canalización en el servicio de auditoría. Revise periódicamente el registro de auditoría para asegurarse de que no se han realizado cambios malintencionados. Visite https://dev.azure.com/ORG-NAME/_settings/audit para empezar.

Pasos siguientes

Vuelva a la información general y asegúrese de que ha abordado todos los temas.