İşlem hattı kaynakları
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Azure Pipelines, YAML dosyasını ve kaynak kodunu korumanın ötesinde güvenlik sunar. YAML işlem hatları çalıştırıldığında, kaynaklara erişim denetimler adlı bir sistemden geçer. Denetimler, kaynakları güvende tutmak için işlem hattı çalıştırmasını askıya alabilir ve hatta başarısız olabilir. İşlem hattı korumalı ve açık olmak üzere iki tür kaynağa erişebilir.
Korumalı kaynaklar
İşlem hatlarınız genellikle gizli dizilere erişebilir.
Örneğin, derlemenizi imzalamak için bir imzalama sertifikasına ihtiyacınız vardır.
Bir üretim ortamına dağıtmak için bu ortama bir kimlik bilgisi gerekir.
Azure Pipelines, Ortamlar dışında tüm korumalı kaynaklar için tüm işlem hatlarına bir kaynağa erişim açarken Yönetici rolü gerektirir. Ortamlar için Oluşturucu rolüne ihtiyacınız vardır. Kaynak koruması hakkında daha fazla bilgi edinin.
Azure Pipelines'da aşağıdakilerin tümü YAML işlem hatlarında korunan kaynaklar olarak kabul edilir:
- Aracı havuzları
- Değişken gruplarındaki gizli dizi değişkenleri
- Dosyaların güvenliğini sağlama
- Hizmet bağlantıları
- Ortamlar
- Depoları
"Korumalı" şu anlama gelir:
- Bunlar, projedeki belirli kullanıcılar ve belirli işlem hatları için erişilebilir hale getirilebilir. Bu kullanıcılara ve proje dışındaki işlem hatlarına erişemez.
- YAML işlem hattı bu kaynaklardan birini her kullandığında diğer el ile veya otomatik denetimleri çalıştırabilirsiniz. Korumalı kaynaklar hakkında daha fazla bilgi edinmek için bkz. İşlem hattı kaynakları hakkında.
Depo kaynaklarını koruma
Depolar isteğe bağlı olarak korunabilir. Kuruluş veya proje düzeyinde Azure Pipelines erişim belirtecinin kapsamını belirtilen depolarla sınırlamayı seçebilirsiniz. Bunu yaptığınızda Azure Pipelines iki koruma daha ekler:
- İşleri çalıştırmak için aracıya verilen erişim belirtecinin yalnızca işlem hattının
resourcesbölümünde açıkça belirtilen depolara erişimi olacaktır. - İşlem hattına eklenen depoların, işlem hattının depoyu ilk kez kullandığında depoya katkıda bulunan biri tarafından yetkilendirilmiş olması gerekir.
Mayıs 2020'de oluşturulan tüm kuruluşlar için bu ayar varsayılan olarak açıktır. Bundan önce oluşturulan kuruluşların Kuruluş ayarlarında etkinleştirilmesi gerekir.
Açık kaynaklar
Projedeki diğer tüm kaynaklar açık kaynaklar olarak kabul edilir. Açık kaynaklar şunlardır:
- Artifacts
- Pipelines
- Test planları
- İş öğeleri
Projelerde bölümünde hangi işlem hatlarının hangi kaynaklara erişebileceği hakkında daha fazla bilgi edineceksiniz.
Kullanıcı izinleri
Korumalı kaynaklar için ilk savunma hattı kullanıcı izinleridir. Genel olarak, yalnızca gerekli olan kullanıcılara izin verdiğinizden emin olun. Tüm korunan kaynaklar benzer bir güvenlik modeline sahiptir. Bir kaynak için kullanıcı rolünün bir üyesi:
- Bu kaynakta yapılandırılan onaylayanları ve denetimleri kaldırma
- Bu kaynağı kullanmak için diğer kullanıcılara veya işlem hatlarına erişim izni verme
İşlem hattı izinleri
YAML işlem hatlarını kullandığınızda, korunan kaynaklarınızın güvenliğini sağlamak için kullanıcı izinleri yeterli değildir. Korumalı kaynağın adını (örneğin, üretim ortamınız için bir hizmet bağlantısı) kolayca kopyalayabilir ve bunu farklı bir işlem hattına ekleyebilirsiniz. İşlem hattı izinleri bu tür kopyalamaya karşı koruma sağlar. Korunan kaynakların her biri için "tüm işlem hatlarına" erişim verme seçeneğini devre dışı bırakdığınızdan emin olun. Bunun yerine, güvendiğiniz belirli işlem hatlarına açıkça erişim izni verildi.
Denetler
YAML'de kullanıcı ve işlem hattı izinlerinin birleşimi korumalı kaynaklarınızın güvenliğini sağlamak için yeterli değildir. Kaynaklara yönelik işlem hattı izinleri işlem hattının tamamına verilir. Hiçbir şey saldırganın deponuzda başka bir dal oluşturmasını, kötü amaçlı kod eklemesini ve bu kaynağa erişmek için aynı işlem hattını kullanmasını engellemez. Kötü amaçlı olmasa bile, çoğu işlem hattının üretime dağıtılmadan önce değişikliklere (özellikle işlem hattının kendisine) ikinci bir göz kümesine ihtiyacı vardır. Denetimler , işlem hattı çalıştırmasını belirli koşullar karşılanıncaya kadar duraklatmanıza olanak sağlar:
- El ile onay denetimi. Proje korumalı kaynak kullanan her çalıştırma, devam etmeden önce el ile onayınız için engellenir. El ile koruma, kodu gözden geçirme ve doğru daldan gelmesini sağlama fırsatı sunar.
- Korumalı dal denetimi. Bazı dallarınız için el ile kod gözden geçirme işlemleriniz varsa, bu korumayı işlem hatlarına genişletebilirsiniz. Kaynaklarınızın her birinde korumalı dal denetimi yapılandırın. Bu işlem hattınızın tüm kullanıcı dalları üzerinde çalışmasını otomatik olarak durdurur.
- Korumalı kaynak denetimi Herhangi bir işlem hattındaki bir aşamanın kaynağı tüketmeden önce karşılanması gereken koşulları belirtmek için ortamlara, hizmet bağlantılarına, depolara, değişken gruplarına, aracı havuzlarına, değişken gruplarına ve güvenli dosyalara denetimler ekleyebilirsiniz. Denetimler ve onaylar hakkında daha fazla bilgi edinin.
Sonraki adımlar
Ardından, kaynakları bir proje yapısında nasıl gruplandırabileceğinizi göz önünde bulundurun.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin