Depo koruması
Kaynak kodu, işlem hattının YAML dosyası ve gerekli betik araçlarının hepsi & bir sürüm denetimi deposunda depolanır. Kodda ve işlem hattında yapılan değişikliklerin güvenli olduğundan emin olmak için izinler ve dal ilkeleri çalıştırmalıdır. Depolara işlem hattı izinleri ve denetimler de ebilirsiniz.
Ayrıca depolar için varsayılan erişim denetimlerini de gözden geçirmelisiniz.
Git'in tasarımı nedeniyle, dal düzeyinde koruma sizi yalnızca o ana kadar taşır. Bir repoya anında erişime sahip kullanıcılar genellikle yeni dallar oluşturabilir. Açık kaynak GitHub kullanıyorsanız, GitHub hesabı olan herkes deponun bir zararını ve katkılarını geri önerebilirsiniz. İşlem hatları belirli dallarla değil depoyla ilişkili olduğu için, koda ve YAML dosyalarına güveni olmadığını varsayabilirsiniz.
Çatallar
Depolardan ortak depolar GitHub, kendi duruşunu da göz önünde bulundurarak derlemeler üzerinde düşünmeniz gerekir. Forks özellikle tehlikelidir çünkü bunlar kuruluş dışından gelir. Ürünlerinizi katkıda bulunan koddan korumak için aşağıdaki önerileri göz önünde bulundurabilirsiniz.
Not
Aşağıdaki öneriler öncelikli olarak genel GitHub.
Derlemelere gizli diziler sağlama
Varsayılan olarak, işlem hatlarınız mürekkep oluşturmaz. Mürekkepler derlemeye karar verdiy olursanız, gizli diziler ve korumalı kaynaklar varsayılan olarak bu işlem hatlarında işlerin kullanımına açık olmaz. Bu ikinci korumayı kapattırma.
Not
Gizli dizilere erişmek için mürekkep derlemelerini etkinleştirse Azure Pipelines derlemeleri için kullanılan erişim belirteci kısıtlar. Açık kaynaklara normal erişim belirteclerine göre daha sınırlı erişime sahip. Bu korumayı devre dışı bırakamaznız.
Mürekkep derlemelerini el ile tetiklemeyi göz önünde bulundurabilirsiniz
Otomatik mürekkep derlemelerini devre dışı ekleyebilirsiniz ve bunun yerine bu katkıları el ile oluşturmanın bir yolu olarak çekme isteği açıklamalarını kullanabilirsiniz. Bu ayar, derlemeyi tetiklemeden önce kodu gözden geçirme fırsatı sağlar.
Microsoft tarafından barındırılan aracıları kullanarak derlemeleri oluşturma
Kendi içinde barındırılan aracılarda derlemeleri, kendi içinde barındırılan aracılarda çalıştır don't run. Bunu yaparak, şirket ağınız içindeki makinelerde dış kodu çalıştırmak için dış kuruluşlara etkili bir yol sağlarsanız. Microsoft tarafından barındırılan aracıları veya kendi kendine barındırılan aracılar için bir tür ağ yalıtımı kullanın.
Kullanıcı dalları
Doğru izinlere sahip olan kuruluş kullanıcıları yeni veya güncelleştirilmiş kod içeren yeni dallar oluşturabilir. Bu kod, korumalı dallarla aynı işlem hattında çalışmasına neden olabilir. Ayrıca, yeni dalda YAML dosyası değiştirilirse, işlem hattını çalıştırmak için güncelleştirilmiş YAML kullanılır. Bu tasarım büyük esneklik ve self servis sağlar ancak tüm değişiklikler güvenli değildir (kötü amaçlı olup olmadığı).
İşlem hattınız kaynak kodunu tüketirse veya kaynak Azure Repos tanımlanmışsa, işlem hattı Azure Repos tam olarak anlamanız gerekir. Özellikle, depo düzeyinde Dal Oluşturma izni olan bir kullanıcı, Katkıda Bulun iznine sahip olmamasına rağmen depoya kod tanıtabilir.
Sonraki adımlar
Daha sonra, korumalı kaynaklar üzerinde denetimler tarafından sunulan daha fazla koruma hakkında bilgi edinmek.