Určení přístupu k zabezpečení kanálů YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Zvažte přijetí přírůstkového přístupu k vylepšení zabezpečení vašich kanálů. I když je ideální implementovat všechny pokyny, které poskytujeme, nezahlcujte počtem doporučení. Začněte tím, že provedete některá vylepšení, a to i v případě, že nemůžete okamžitě vyřešit všechno.
Vzájemné závislosti na zabezpečení
Doporučení zabezpečení jsou vzájemně závislá. Váš postoj závisí na konkrétních doporučeních, která implementujete, což je zase v souladu s obavami devOps a bezpečnostními týmy a zásadami organizace.
Zvažte stanovení priority zabezpečení v kritických oblastech a zároveň přijměte některé kompromisy pro usnadnění v jiných aspektech. Pokud například používáte extends šablony, které vyžadují, aby se všechna sestavení spouštěla v kontejnerech, nemusíte pro každý projekt potřebovat samostatný fond agentů.
Začínáme s téměř prázdnou šablonou
Začněte minimální šablonou a postupně vynucujte rozšíření. Tento přístup zajišťuje, že při implementaci postupů zabezpečení máte centralizovaný výchozí bod, který pokrývá všechny kanály.
Další informace najdete v tématu Šablony.
Zakázání vytváření klasických kanálů
Poznámka:
Tato funkce je dostupná od Azure DevOps Serveru 2022.1.
Pokud používáte výhradně kanály YAML, zakažte vytváření klasických kanálů buildu a verze. Toto opatření brání obavám zabezpečení vyplývajícím z YAML a klasických kanálů, které sdílejí stejné prostředky, jako jsou připojení služeb.
Nezávisle zakažte vytváření klasických kanálů buildu a klasických kanálů verze. Pokud jsou oba zakázané, není možné vytvořit žádný klasický kanál buildu, kanál klasické verze, skupiny úloh nebo skupiny nasazení prostřednictvím uživatelského rozhraní nebo rozhraní REST API.
Pokud chcete zakázat vytváření klasických kanálů, přejděte do nastavení organizace nebo nastavení projektu a pak v části Kanály vyberte Nastavení. V části Obecné zapněte možnost Zakázat vytváření klasických kanálů buildu a zakázat vytváření kanálů klasických verzí.
Pokud tuto funkci povolíte na úrovni organizace, platí pro všechny projekty v této organizaci. Pokud ji ale necháte zakázanou, můžete ji selektivně povolit pro konkrétní projekty.
Abychom zlepšili zabezpečení nově vytvořených organizací, počínaje sprintem 226 ve výchozím nastavení zakážeme vytváření klasických kanálů buildů a verzí pro nové organizace.