Ermitteln Des Ansatzes zum Sichern von YAML-Pipelines
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Erwägen Sie die Einführung eines inkrementellen Ansatzes, um die Sicherheit Ihrer Pipelines zu verbessern. Obwohl es ideal ist, alle von uns bereitgestellten Anleitungen zu implementieren, werden Sie nicht von der Anzahl der Empfehlungen überwältigt. Beginnen Sie, indem Sie einige Verbesserungen vornehmen, auch wenn Sie nicht sofort alles beheben können.
Sicherheitsinterdependenz
Sicherheitsempfehlungen sind voneinander abhängig. Ihr Haltung basiert auf den spezifischen Empfehlungen, die Sie implementieren, was wiederum den Bedenken Ihrer DevOps- und Sicherheitsteams und den Organisationsrichtlinien entspricht.
Erwägen Sie die Priorisierung der Sicherheit in kritischen Bereichen, während Sie einige Kompromisse in anderen Aspekten akzeptieren. Wenn Sie beispielsweise extends-Vorlagen verwenden, damit alle Builds in Containern ausgeführt werden müssen, benötigen Sie möglicherweise keinen separaten Agentpool für jedes Projekt.
Beginnen Sie mit einer fast leeren Vorlage
Beginnen Sie mit einer minimalen Vorlage, und erzwingen Sie schrittweise Erweiterungen. Dieser Ansatz stellt sicher, dass Sie bei der Implementierung von Sicherheitspraktiken einen zentralen Ausgangspunkt haben, der alle Pipelines abdeckt.
Weitere Informationen finden Sie unter Vorlagen.
Deaktivieren der Erstellung von klassischen Pipelines
Hinweis
Diese Funktion ist ab Azure DevOps Server 2022.1 verfügbar.
Deaktivieren Sie die Erstellung von klassischen Build- und Releasepipelines, wenn Sie ausschließlich YAML-Pipelines verwenden. Diese Vorsichtsmaßnahme verhindert ein Sicherheitsproblem, das sich aus YAML- und klassischen Pipelines ergibt, die dieselben Ressourcen wie Dienstverbindungen nutzen.
Deaktivieren Sie unabhängig die Erstellung von klassischen Buildpipelines und klassischen Releasepipelines. Wenn beide deaktiviert sind, können keine klassische Buildpipeline, klassische Releasepipeline, Aufgabengruppen oder Bereitstellungsgruppen über die Benutzeroberfläche oder die REST-API erstellt werden.
Um die Erstellung klassischer Pipelines zu deaktivieren, wechseln Sie zu Ihren Organisationseinstellungen oder Project-Einstellungen, und wählen Sie dann im Abschnitt "Pipelines" "Einstellungen" aus. Aktivieren Sie im Abschnitt Allgemein die Optionen Deaktivieren der Erstellung von klassischen Buildpipelines und Deaktivieren der Erstellung von klassischen Releasepipelines.
Wenn Sie dieses Feature auf Organisationsebene aktivieren, gilt es für alle Projekte innerhalb dieser Organisation. Wenn Sie sie jedoch deaktiviert lassen, können Sie sie selektiv für bestimmte Projekte aktivieren.
Um die Sicherheit neu erstellter Organisationen zu verbessern, beginnend mit Sprint 226, deaktivieren wir standardmäßig das Erstellen klassischer Build- und Releasepipelines für neue Organisationen.