Sdílet prostřednictvím

Vylepšení zabezpečení rozhraní REST API služby Azure Pipelines

  • Článek

Touto aktualizací jsme vylepšili zabezpečení rozhraní REST API služby Azure Pipelines pro klasické kanály sestavení. Teď bude oborem autorizace úlohy sestavení ve výchozím nastavení Project místo kolekce projektů.

Podrobnosti najdete v poznámkách k verzi.

Azure Pipelines

Azure Artifacts

Azure Pipelines

Podpora služby Azure Pipelines pro verzi ServiceNow v San Diegu

Azure Pipelines má existující integraci s ServiceNow. Integrace spoléhá na aplikaci v ServiceNow a rozšíření v Azure DevOps. Teď jsme aplikaci aktualizovali tak, aby fungovala s verzí ServiceNow v San Diegu. Aby tato integrace fungovala, upgradujte na novou verzi aplikace (4.205.2) z úložiště ServiceNow.

Další informace najdete v dokumentaci k integraci se službou ServiceNow Change Management.

Vylepšení zabezpečení rozhraní REST API pro kanály

Většina rozhraní REST API v Azure DevOps používá tokeny PAT s vymezeným oborem. Některé z nich ale vyžadují plně vymezené tokeny PAT. Jinými slovy, abyste mohli některá z těchto rozhraní API použít, musíte vytvořit token PAT výběrem možnosti Úplný přístup. Tyto tokeny představují bezpečnostní riziko, protože je možné je použít k volání libovolného rozhraní REST API. V Azure DevOps jsme provedli vylepšení, abychom odstranili potřebu plně omezených tokenů začleněním jednotlivých rozhraní REST API do konkrétního oboru. V rámci tohoto úsilí teď rozhraní REST API k aktualizaci oprávnění kanálu pro prostředek vyžaduje konkrétní obor. Rozsah závisí na typu prostředku, který je autorizován pro použití:

  • Code (read, write, and manage) pro prostředky typu repository
  • Agent Pools (read, manage) nebo Environment (read, manage) pro prostředky typu queue a agentpool
  • Secure Files (read, create, and manage) pro prostředky typu securefile
  • Variable Groups (read, create and manage) pro prostředky typu variablegroup
  • Service Endpoints (read, query and manage) pro prostředky typu endpoint
  • Environment (read, manage) pro prostředky typu environment

Pokud chcete oprávnění kanálů hromadně upravovat, budete stále potřebovat token PAT s plně vymezeným oborem. Další informace o aktualizaci oprávnění kanálu pro prostředky najdete v dokumentaci Oprávnění kanálu – Aktualizace oprávnění kanálu pro prostředky .

Použití adres URL proxy serveru pro integraci GitHubu Enterprise

Azure Pipelines se integruje s místními servery GitHub Enterprise a umožňuje spouštět průběžné integrace a sestavování žádostí o přijetí změn. V některých případech je GitHub Enterprise Server za bránou firewall a vyžaduje směrování provozu přes proxy server. Pro podporu tohoto scénáře vám připojení služby GitHub Enterprise Server v Azure DevOps umožňují nakonfigurovat adresu URL proxy serveru. Dříve se přes tuto adresu URL proxy serveru nesměroval veškerý provoz z Azure DevOps. S touto aktualizací zajišťujeme, že budeme směrovat následující provoz z Azure Pipelines, aby procházel přes adresu URL proxy serveru:

  • Získání větví
  • Získání informací o žádosti o přijetí změn
  • Nahlásit stav sestavení

Vylepšení plánovaných buildů

Opravili jsme problém, který způsoboval poškození informací o plánu kanálu a nenačítá se kanál. Příčinou je například překročení určitého počtu znaků v názvu větve.

Oznámení vyřazení image Windows 2016 z provozu

Azure Pipelines odebírá image Windows 2016 (vs2017-win2016) z hostovaných fondů 31. července. Další informace o tom, jak identifikovat kanály pomocí zastaralých imagí včetně Windows 2016, najdete v našem blogovém příspěvku Vyřazení image hostovaných kanálů.

Oznámení o vyřazení imagí macOS 10.15 Catalina (aktualizováno)

Azure Pipelines v hostovaných fondech vyřazuje image macOS 10.15 Catalina (macOS-1015). Tento obrázek bude vyřazen 30. září. Může se stát, že se zobrazí delší časy fronty.

Abychom vám pomohli lépe identifikovat, které kanály používají image macOS-1015, plánujeme brownouty. Úlohy selžou během období brownoutu.

  • Varovné zprávy se zobrazují při spuštění kanálu pomocí image macOS-1015
  • K dispozici je skript , který vám pomůže najít kanály pomocí zastaralých imagí, včetně macOS-1015.
  • Plánujeme krátké "brownouty". Všechna spuštění macOS-1015 se během období brownoutu nezdaří. Proto se doporučuje migrovat kanály před výpadky.

Plán brownoutu (aktualizováno)

  • 7. října, 10:00 UTC–7. října, 16:00 UTC
  • 14. října, 12:00 UTC–14. října, 18:00 UTC
  • 21. října, 14:00 UTC–21. října, 20:00 UTC
  • 28. října, 16:00 UTC–28. října, 22:00 UTC
  • 4. listopadu, 22:00 UTC–5. listopadu 04:00 UTC
  • 11. listopadu, 04:00 UTC–11. listopadu, 10:00 UTC
  • 18. listopadu, 06:00 UTC–18. listopadu, 12:00 UTC
  • 25. listopadu, 08:00 UTC–25. listopadu, 14:00 UTC

Aktualizace události služby "Změna stavu fáze spuštění"

Připojení služby umožňují spouštět úkoly v jiných službách, když v projektu v Azure DevOps dojde k událostem. Jednou z těchto událostí je změna stavu fáze spuštění . Událost Změna stavu fáze spuštění musí obsahovat informace o spuštění, včetně názvu kanálu a stavu celkového spuštění. Dříve obsahoval pouze informace o ID a názvu spuštění. V této aktualizaci jsme provedli změny události tak, aby obsahovaly chybějící informace.

Změna výchozího rozsahu přístupových tokenů v klasických kanálech buildu

Aby se zlepšilo zabezpečení klasických kanálů sestavení, bude při vytváření nového ve výchozím nastavení oborem autorizace úlohy sestaveníProject. Až dosud to byla kolekce projektů. Přečtěte si další informace o přístupových tokenech úloh. Tato změna nemá vliv na žádný z existujících kanálů. Týká se to jenom nových klasických kanálů buildu, které vytvoříte od tohoto okamžiku.

Azure Artifacts

Aktualizace výchozích oprávnění informačního kanálu

Účty služby sestavení kolekce projektů teď budou mít ve výchozím nastavení roli Spolupracovník při vytvoření nového informačního kanálu Azure Artifacts s oborem organizace místo aktuální role Přispěvatel .

Další kroky

Poznámka

Tyto funkce budou zavádět během následujících dvou až tří týdnů.

Přejděte na Azure DevOps a podívejte se.

Přejít na Azure DevOps

Jak poskytnout zpětnou vazbu

Rádi bychom slyšeli, co si o těchto funkcích myslíte. Pomocí nabídky nápovědy můžete nahlásit problém nebo poskytnout návrh.

Vytvoření návrhu

Můžete také získat rady a odpovědi na vaše otázky od komunity na Webu Stack Overflow.

Díky,

Vijay Machiraju