Dela via


Andra säkerhetsöverväganden

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Det finns några andra saker du bör tänka på när du skyddar pipelines.

Förlita dig på PATH

Det är farligt att förlita sig på agentens PATH inställning. Det kanske inte pekar på var du tror att det gör det, eftersom ett tidigare skript eller verktyg kunde ha ändrat det. För säkerhetskritiska skript och binärfiler använder du alltid en fullständigt kvalificerad sökväg till programmet.

Loggning av hemligheter

Azure Pipelines försöker rensa hemligheter från loggar där det är möjligt. Den här filtreringen är på bästa sätt och kan inte fånga alla sätt som hemligheter kan läckas. Undvik att upprepa hemligheter för konsolen, använda dem i kommandoradsparametrar eller logga dem till filer.

Låsa containrar

Containrar har några volymmonteringsmappningar som tillhandahålls av systemet i de uppgifter, den arbetsyta och de externa komponenter som krävs för att kommunicera med värdagenten. Du kan markera alla eller alla dessa volymer som skrivskyddade.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

De flesta bör markera de tre första skrivskyddade och lämna work som skrivskyddade. Om du vet att du inte kommer att skriva till arbetskatalogen i ett visst jobb eller steg kan du även göra work skrivskyddat. Om du har uppgifter i pipelinen, som du själv ändrar, kan du behöva lämna tasks skrivskyddat.

Kontrollera tillgängliga uppgifter

Du kan inaktivera möjligheten att installera och köra uppgifter från Marketplace. På så sätt får du större kontroll över koden som körs i en pipeline. Du kan också inaktivera alla in-the-box-uppgifter (förutom kassan, vilket är en särskild åtgärd för agenten). Vi rekommenderar att du inte inaktiverar in-the-box-uppgifter under de flesta omständigheter.

Uppgifter som installeras direkt med tfx är alltid tillgängliga. När båda dessa funktioner är aktiverade är endast dessa uppgifter tillgängliga.

Använda granskningstjänsten

Många pipelinehändelser registreras i granskningstjänsten. Granska granskningsloggen regelbundet för att se till att inga skadliga ändringar har halkat förbi. Besök https://dev.azure.com/ORG-NAME/_settings/audit för att komma igång.

Nästa steg

Gå tillbaka till översikten och kontrollera att du har gått igenom alla artiklar.