Inne zagadnienia dotyczące zabezpieczeń
Azure DevOps Services | Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r.
Istnieje kilka innych kwestii, które należy wziąć pod uwagę podczas zabezpieczania potoków.
Poleganie na ścieżce
Poleganie na ustawieniu agenta PATH jest niebezpieczne.
Może nie wskazywać, gdzie tak się stanie, ponieważ poprzedni skrypt lub narzędzie mogło go zmienić.
W przypadku skryptów i plików binarnych o krytycznym znaczeniu dla zabezpieczeń należy zawsze używać w pełni kwalifikowanej ścieżki do programu.
Rejestrowanie wpisów tajnych
Usługa Azure Pipelines próbuje wyczyścić wpisy tajne z dzienników wszędzie tam, gdzie to możliwe. To filtrowanie jest oparte na najlepszym nakładzie pracy i nie może przechwytywać każdego sposobu, w jaki wpisy tajne mogą być wyciekane. Unikaj powtarzania wpisów tajnych w konsoli, używania ich w parametrach wiersza polecenia lub rejestrowania ich w plikach.
Blokowanie kontenerów
Kontenery mają kilka mapowań woluminów dostarczanych przez system w zadaniach, obszarze roboczym i składnikach zewnętrznych wymaganych do komunikowania się z agentem hosta. Można oznaczyć dowolny lub wszystkie te woluminy tylko do odczytu.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
Większość osób powinna oznaczyć pierwsze trzy elementy tylko do odczytu i pozostawić work je jako read-write.
Jeśli wiesz, że nie będziesz zapisywać w katalogu służbowym w danym zadaniu lub kroku, przejdź do przodu i zrób work tylko do odczytu.
Jeśli masz zadania w potoku, które zmodyfikujesz samodzielnie, może być konieczne pozostawienie tasks odczytu i zapisu.
Kontrolowanie dostępnych zadań
Możesz wyłączyć możliwość instalowania i uruchamiania zadań z witryny Marketplace. Pozwoli to na większą kontrolę nad kodem wykonywanym w potoku. Możesz również wyłączyć wszystkie zadania w polu (z wyjątkiem wyewidencjonowania, która jest specjalną akcją na agencie). W większości przypadków nie zaleca się wyłączania zadań wbudowanych.
Zadania instalowane bezpośrednio z tfx programem są zawsze dostępne.
Po włączeniu obu tych funkcji dostępne są tylko te zadania.
Korzystanie z usługi inspekcji
Wiele zdarzeń potoku jest rejestrowanych w usłudze Inspekcja.
Okresowo przejrzyj dziennik inspekcji, aby upewnić się, że żadne złośliwe zmiany nie spadły w przeszłości.
Odwiedź stronę https://dev.azure.com/ORG-NAME/_settings/audit , aby rozpocząć pracę.
Następne kroki
Wróć do przeglądu i upewnij się, że omówiono każdy artykuł.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla