İşlem hattı kaynakları

  • Makale
  • Okumak için 2 dakika

Azure Pipelines, YAML dosyasını ve kaynak kodunu korumanın ötesinde güvenlik mekanizmaları sunar. İşlem hatları çalıştır çalıştır olduğunda kaynaklara erişim, denetimler adlı bir sistemden geçmektedir. Denetimler, kaynakları güvende tutmak için işlem hattı çalıştırmalarını askıya alabilir veya hatta başarısız olabilir. İşlem hattı korunan ve açık olan iki tür kaynaklara erişebilirsiniz.

Korumalı kaynaklar

İşlem hatlarınız genellikle gizli dizilere erişime sahip olur. Örneğin, derlemenizi imzalamak için bir imzalama sertifikası gerekir. Bir üretim ortamına dağıtmak için bu ortama bir kimlik bilgisi gerekir. Bu Azure Pipelines, aşağıdakilerin hepsi korumalı kaynaklar olarak kabul edilir:

"Korumalı" şu anlama gelir:

  • Bunlar, proje içindeki belirli kullanıcılar ve belirli işlem hatları için erişilebilir hale kullanılabilir. Proje dışındaki kullanıcılar ve işlem hatları tarafından erişilemez.
  • Bir işlem hattı bu kaynaklardan birini her kullandığında ek el ile veya otomatik denetimler çalıştırabilirsiniz. Korumalı kaynaklar hakkında daha fazla bilgi edinmek için bkz. İşlem hattı kaynakları hakkında.

Depo kaynaklarını koruma

Depolar isteğe bağlı olarak korunabiliyor. Kuruluş veya proje düzeyinde, erişim belirtecini belirtilen depolar Azure Pipelines kapsamını sınırlamayı seçebilirsiniz. Bunu yapmak için Azure Pipelines ek koruma eklersiniz:

  1. Çalışan işler için aracıya verilen erişim belirteci yalnızca işlem hattının bölümünde açıkça belirtilen resources depolara erişime sahip olur.
  2. İşlem hattına eklenen depoların, işlem hattı depoyu ilk kez kullandığında depoya okuma erişimi olan biri tarafından yetkilendirilmiş olması gerekir.

Bu ayar Mayıs 2020'den sonra oluşturulan tüm kuruluşlar için varsayılan olarak açıktır. Bundan önce oluşturulan kuruluşların bunu Kuruluş ayarlarında etkinleştirmesi gerekir.

Kaynakları açma

Bir proje içinde yer alan diğer tüm kaynaklar açık kaynaklar olarak kabul edilir. Açık kaynaklar şunlardır:

  • Yapı
  • Boru hattı
  • test planları
  • iş öğeleri

Projelerin bölümünde hangi işlem hatlarının hangi kaynaklara erişebilirsiniz hakkında daha fazla bilgi edinebilirsiniz.

Kullanıcı izinleri

Korumalı kaynaklar için ilk savunma hattı kullanıcı izinleridir. Genel olarak, yalnızca gerekli olan kullanıcılara izinler verin. Tüm korumalı kaynaklar benzer bir güvenlik modeline sahip olur. Bir kaynağın kullanıcı rolünün üyesi şunları olabilir:

  • Bu kaynakta yapılandırılan onaylayanları ve denetimleri kaldırma
  • Bu kaynağı kullanmak için diğer kullanıcılara veya işlem hatlarına erişim izni ver

İşlem hatlarında kullanıcı izinlerinin ekran görüntüsü

İşlem hattı izinleri

YAML işlem hatlarını kullanırken, kullanıcı izinleri korumalı kaynaklarınızı güvenli hale almak için yeterli değildir. Korumalı bir kaynağın adını (örneğin, üretim ortamınız için bir hizmet bağlantısı) kolayca kopyalayıp farklı bir işlem hattına dahil edin. İşlem hattı izinleri bu tür kopyalamalara karşı koruma sağlar. Korumalı kaynakların her biri için "tüm işlem hatlarına" erişim izni vermek için seçeneği devre dışı bıraksanız emin olun. Bunun yerine, güvenilen belirli işlem hatlarına açıkça erişim izni verildi.

İşlem hattı izinlerinin ekran görüntüsü

Denetler

YAML'de, kullanıcı ve işlem hattı izinlerinin bir birleşimi, korumalı kaynaklarınızı tam olarak güvenli hale almak için yeterli değildir. kaynaklara işlem hattı izinleri, işlem hattının tamama verilmiş olur. Hiçbir şey, bir hasılanın depoda başka bir dal oluşturmasını, kötü amaçlı kod eklemesini ve bu kaynağa erişmek için aynı işlem hattını kullanmasını engellemez. Kötü amaçlı olsa bile, çoğu işlem hattının üretime dağıtmadan önce değişikliklere (özellikle işlem hattının kendisine) bakarak ikinci bir göz kümesine ihtiyacı vardır. Denetimler, belirli koşullar karşıilene kadar işlem hattı çalıştırmayı duraklatmalarına olanak sağlar:

  • El ile onay denetimi. Proje korumalı kaynak kullanan her çalıştırma, devam etmeden önce el ile onaylamanız için engellenir. Bu size kodu gözden geçirme ve doğru daldan geldiğini garanti etme fırsatı verir.
  • Korumalı dal denetimi. Bazı dallar için el ile kod inceleme işlemleriniz varsa, bu korumayı işlem hatlarına genişletebilirsiniz. Kaynaklarınızı her biri için korumalı bir dal denetimi yapılandırma. Bu işlem hattınızı otomatik olarak tüm kullanıcı dallarının üzerinde çalıştırmayı durdurur.

Denetimleri yapılandırma ekran görüntüsü

Sonraki adımlar

Ardından, kaynakları bir proje yapısında nasıl gruplayarak değerlendirin.