Güvenlikle ilgili dikkat edilmesi gereken diğer noktalar
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
İşlem hatlarının güvenliğini sağlarken dikkate almanız gereken birkaç şey daha vardır.
PATH'e güvenme
Aracının PATH ayarına güvenmek tehlikelidir.
Önceki bir betik veya araç onu değiştirebileceği için düşündüğünüz yeri göstermeyebilir.
Güvenlik açısından kritik betikler ve ikili dosyalar için her zaman programın tam yolunu kullanın.
Gizli dizileri günlüğe kaydetme
Azure Pipelines, günlüklerdeki gizli dizileri mümkün olan her yerde temizlemeye çalışır. Bu filtreleme en iyi çabayı gösterir ve gizli dizilerin sızdırılabildiği her şekilde yakalanamaz. Gizli dizileri konsola yansıtmaktan, komut satırı parametrelerinde kullanmaktan veya dosyalara günlüğe kaydetmekten kaçının.
Kapsayıcıları kilitleme
Kapsayıcılar, konak aracısı ile iletişim kurmak için gereken görevlerde, çalışma alanında ve dış bileşenlerde sistem tarafından sağlanan birkaç birim bağlama eşlemesine sahiptir. Bu birimlerin herhangi birini veya tümünü salt okunur olarak işaretleyebilirsiniz.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
Çoğu kişi ilk üç salt okunur olarak işaretlemeli ve okuma-yazma olarak bırakmalıdır work .
Belirli bir iş veya adımda iş dizinine yazmayabileceğinizi biliyorsanız, devam edin ve salt okunur yapın work .
İşlem hattınızda kendi kendini değiştiren görevleriniz varsa, okuma-yazmadan ayrılmanız tasks gerekebilir.
Kullanılabilir görevleri denetleme
Market'ten görevleri yükleme ve çalıştırma özelliğini devre dışı bırakabilirsiniz. Bu işlem hattında yürütülen kod üzerinde daha fazla denetime sahip olmanıza olanak sağlar. Ayrıca, tüm yerleşik görevleri devre dışı bırakabilirsiniz (aracı üzerinde özel bir eylem olan Kullanıma Alma dışında). Çoğu durumda yerleşik görevleri devre dışı bırakmamanızı öneririz.
ile doğrudan yüklenen tfx görevler her zaman kullanılabilir.
Bu özelliklerin her ikisi de etkinleştirildiğinde yalnızca bu görevler kullanılabilir.
Denetim hizmetini kullanma
Birçok işlem hattı olayı Denetim hizmetine kaydedilir.
Hiçbir kötü amaçlı değişikliğin geride kalmadığından emin olmak için denetim günlüğünü düzenli aralıklarla gözden geçirin.
Başlamak için ziyaret edin https://dev.azure.com/ORG-NAME/_settings/audit .
Sonraki adımlar
Genel bakışa dönün ve her makalenin ele alındığından emin olun.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin