Outras considerações de segurança
Serviços do Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020
Existem algumas outras coisas que deve considerar ao proteger os pipelines.
Confiar no PATH
Confiar na definição do PATH agente é perigoso.
Pode não apontar para onde pensa que sim, uma vez que um script ou ferramenta anterior poderia ter alterado o mesmo.
Para scripts e binários críticos de segurança, utilize sempre um caminho completamente qualificado para o programa.
Registo de segredos
O Azure Pipelines tenta limpar segredos de registos sempre que possível. Esta filtragem é uma base de melhor esforço e não consegue perceber de todas as formas que os segredos podem ser divulgados. Evite ecoar segredos para a consola, utilizá-los em parâmetros de linha de comandos ou registo-los em ficheiros.
Bloquear contentores
Os contentores têm alguns mapeamentos de montagens de volume fornecidos pelo sistema nas tarefas, na área de trabalho e nos componentes externos necessários para comunicar com o agente anfitrião. Pode marcar qualquer um ou todos estes volumes só de leitura.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
A maioria das pessoas deve marcar os três primeiros só de leitura e sair work como leitura-escrita.
Se souber que não escreverá no diretório de trabalho num determinado trabalho ou passo, avance e torne-se work também só de leitura.
Se tiver tarefas no pipeline, que se modificam automaticamente, poderá ter de deixar tasks a leitura-escrita.
Controlar tarefas disponíveis
Pode desativar a capacidade de instalar e executar tarefas a partir do Marketplace. Isto irá permitir-lhe um maior controlo sobre o código que é executado num pipeline. Também pode desativar todas as tarefas na caixa (exceto Checkout, que é uma ação especial no agente). Recomendamos que não desative as tarefas na caixa na maioria das circunstâncias.
As tarefas instaladas diretamente com tfx estão sempre disponíveis.
Com ambas as funcionalidades ativadas, apenas essas tarefas estão disponíveis.
Utilizar o serviço de Auditoria
Muitos eventos de pipeline são registados no serviço de Auditoria.
Reveja periodicamente o registo de auditoria para garantir que não foram efetuadas alterações maliciosas.
Visite https://dev.azure.com/ORG-NAME/_settings/audit para começar.
Passos seguintes
Regresse à descrição geral e certifique-se de que abordou todos os artigos.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários