Protección de repositorios
El código fuente, el archivo YAML de la canalización y las herramientas de scripts necesarias se & almacenan en un repositorio de control de versiones. Los permisos y las directivas de rama deben emplearse para garantizar que los cambios en el código y la canalización sean seguros. También puede agregar permisos de canalización y comprobaciones a repositorios.
Además, debe revisar el control de acceso predeterminado para los repositorios.
Debido al diseño de Git, la protección a nivel de rama solo le llevará hasta ahora. Los usuarios con acceso de inserción a un repositorio normalmente pueden crear nuevas ramas. Si usa proyectos GitHub código abierto, cualquier usuario con una cuenta de GitHub puede bifurcar el repositorio y proponer contribuciones de nuevo. Dado que las canalizaciones están asociadas a un repositorio y no a ramas específicas, debe asumir que el código y los archivos YAML no son de confianza.
Horquillas
Si compila repositorios públicos a GitHub, debe tener en cuenta su postura sobre las compilaciones de bifurcación. Las bifurcaciones son especialmente peligrosas, ya que proceden de fuera de la organización. Para proteger los productos del código aportado, tenga en cuenta las siguientes recomendaciones.
Nota:
Las siguientes recomendaciones se aplican principalmente a la creación de repositorios públicos a partir GitHub.
No proporcionar secretos para bifurcar compilaciones
De forma predeterminada, las canalizaciones no compilan bifurcaciones. Si decide crear bifurcaciones, los secretos y los recursos protegidos no estarán disponibles para los trabajos de esas canalizaciones de forma predeterminada. No desactive esta última protección.
Nota:
Incluso si habilita compilaciones de bifurcación para acceder a secretos, Azure Pipelines el token de acceso usado para las compilaciones de bifurcación. Tiene un acceso más limitado a los recursos abiertos que un token de acceso normal. No se puede deshabilitar esta protección.
Considere la posibilidad de desencadenar manualmente compilaciones de bifurcación
Puede desactivar las compilaciones de bifurcación automáticas y, en su lugar, usar comentarios de solicitud de extracción como una manera de crear manualmente estas contribuciones. Esta configuración le dará la oportunidad de revisar el código antes de desencadenar una compilación.
Uso de agentes hospedados por Microsoft para compilaciones de bifurcación
No ejecute compilaciones desde bifurcaciones en agentes auto-hospedados. Al hacerlo, proporciona eficazmente una ruta de acceso a organizaciones externas para ejecutar código externo en máquinas dentro de la red corporativa. Use agentes hospedados por Microsoft o algún tipo de aislamiento de red para los agentes auto hospedados.
Ramas de usuario
Los usuarios de la organización con los permisos adecuados pueden crear nuevas ramas que contengan código nuevo o actualizado. Ese código puede ejecutarse a través de la misma canalización que las ramas protegidas. Además, si se cambia el archivo YAML de la nueva rama, se usará el YAML actualizado para ejecutar la canalización. Aunque este diseño permite una gran flexibilidad y autoservicio, no todos los cambios son seguros (ya se realicen de forma malintencionada o no).
Si la canalización consume código fuente o se define en Azure Repos, debe comprender completamente el modelo de Azure Repos de permisos. En concreto, un usuario con el permiso Crear rama en el nivel de repositorio puede introducir código en el repositorio incluso si ese usuario no tiene permiso de contribución.
Pasos siguientes
A continuación, obtenga información sobre la mayor protección que ofrecen las comprobaciones en los recursos protegidos.