Freigeben über

Verbesserungen bei der Verbesserung der Sicherheit von Pipelines

  • Artikel

Mit diesem Update werden Verbesserungen zur Verbesserung der Sicherheit in Azure DevOps eingeschlossen. Jetzt können Sie beim Erstellen von Docker Registry-Dienstverbindungen für azure Container Registry eine vom System zugewiesene verwaltete Identität verwenden. Darüber hinaus haben wir die Verwaltung des Zugriffs für Agentpools verbessert, damit Sie die Verwendung von Ressourcen in einer YAML-Pipeline angeben können. Schließlich beschränken wir das GitHub-Zugriffstoken für verzweigte öffentliche GitHub-Repositorys auf schreibgeschützten Bereich.

Weitere Informationen finden Sie in den Versionshinweisen.

Azure Boards

Azure Pipelines

Azure Boards

Sie können jetzt die Aktion "Link kopieren" verwenden, um einen Link zu einem bestimmten Arbeitsaufgabenkommentar zu kopieren. Sie können diesen Link dann in einen anderen Arbeitsaufgabenkommentar oder eine andere Beschreibung einfügen. Wenn Sie darauf klicken, wird die Arbeitsaufgabe geöffnet, und der Kommentar wird hervorgehoben.

Gif to demo copy comments link.

Dieses Feature wurde basierend auf diesem Community-Vorschlagsticket priorisiert.

Hinweis

Dieses Feature ist nur in der Vorschauversion von New Boards Hubs verfügbar.

Azure Pipelines

Containerregistrierungsdienstverbindungen können jetzt Azure Managed Identities verwenden

Sie können eine vom System zugewiesene verwaltete Identität verwenden, wenn Sie Docker Registry-Dienstverbindungen für Azure Container Registry erstellen. Auf diese Weise können Sie mithilfe einer verwalteten Identität, die einem selbst gehosteten Azure Pipelines-Agent zugeordnet ist, auf die Azure-Containerregistrierung zugreifen, sodass keine Anmeldeinformationen mehr verwaltet werden müssen.

New Docker Registry Service Connection for Changes to Approvals

Hinweis

Die verwaltete Identität, die für den Zugriff auf die Azure Container Registry verwendet wird, benötigt die entsprechende Azure Role Based Access Control (RBAC)-Zuweisung, z. B. AcrPull- oder AcrPush-Rolle.

Wenn Sie Pipelineberechtigungen einer geschützten Ressource einschränken, z. B. eine Dienstverbindung, gibt das zugeordnete Überwachungsereignisprotokoll nun ordnungsgemäß an, dass die Ressource für das Projekt erfolgreich nicht autorisiert wurde.

Pipeline Permissions for Changes to Approvals

Successfully Authorized for Changes to Approvals

Sicherstellen, dass Ihre Organisation nur YAML-Pipelines verwendet

Mit Azure DevOps können Sie jetzt sicherstellen, dass Ihre Organisation nur YAML-Pipelines verwendet, indem Sie die Erstellung von klassischen Buildpipelines, klassischen Release-Pipelines, Aufgabengruppen und Bereitstellungsgruppen deaktivieren. Ihre vorhandenen klassischen Pipelines werden weiterhin ausgeführt, und Sie können sie bearbeiten, aber Sie können keine neuen Pipelines erstellen.

Sie können die Erstellung klassischer Pipelines auf Organisationsebene oder auf Projektebene deaktivieren, indem Sie die entsprechenden Umschaltfläche aktivieren. Die Umschaltfläche befindet sich in Project/Organization Einstellungen -> Pipelines -> Einstellungen.

Disable Creation Of Classic Build and Classic Pipeline for Changes to Approvals

Der Umschaltstatus ist standardmäßig deaktiviert, und Sie benötigen Administratorrechte, um den Status zu ändern. Wenn die Umschaltfläche auf Organisationsebene aktiviert ist, wird die Deaktivierung für alle Projekte erzwungen. Andernfalls kann jedes Projekt auswählen, ob die Deaktivierung erzwungen werden soll oder nicht.

Wenn die Erstellung klassischer Pipelines erzwungen wird, treten REST-APIs im Zusammenhang mit der Erstellung klassischer Pipelines, Aufgabengruppen und Bereitstellungsgruppen fehl. REST-APIs, die YAML-Pipelines erstellen, funktionieren.

Das Deaktivieren der Erstellung klassischer Pipelines ist für vorhandene Organisationen aktiviert. Für neue Organisationen ist es zurzeit ein Opt-In.

Neuer PAT-Bereich, der zum Aktualisieren der allgemeinen Einstellungen der Pipeline erforderlich ist

Das Aufrufen der allgemeinen Einstellungen – Update-REST-API erfordert jetzt einen PAT mit Dem Umfang Project und Team –> Lese- und Schreibzugriff.

Project and Team

Feinkörnige Zugriffsverwaltung für Agentpools

Mit Agentpools können Sie die Computer angeben und verwalten, auf denen Ihre Pipelines ausgeführt werden.

Wenn Sie zuvor einen benutzerdefinierten Agentpool verwendet haben, wurde die Verwaltung, auf welche Pipelines zugegriffen werden kann, grob gekörnt. Sie könnten zulassen, dass alle Pipelines sie verwenden können, oder Sie können jede Pipeline um Erlaubnis bitten. Wenn Sie einem Agentpool eine Pipelinezugriffsberechtigung erteilt haben, konnten Sie sie leider nicht mithilfe der Pipeline-UI widerrufen.

Azure Pipelines bietet jetzt eine differenzierte Zugriffsverwaltung für Agentpools. Die Benutzeroberfläche ähnelt dem Für die Verwaltung von Pipelineberechtigungen für Service-Verbinden ionen.

FabrikamFiber Agent Pool for Changes to Approvals

Verhindern, dass allen Pipelines Zugriff auf geschützte Ressourcen gewährt wird

Wenn Sie eine geschützte Ressource wie eine Dienstverbindung oder eine Umgebung erstellen, haben Sie die Möglichkeit, das Kontrollkästchen "Zugriffsberechtigung für alle Pipelines gewähren" auszuwählen. Bisher wurde diese Option standardmäßig aktiviert.

Dies erleichtert zwar die Verwendung neuer geschützter Ressourcen durch Pipelines, umgekehrt ist jedoch der Vorteil, dass versehentlich zu viele Pipelines das Recht auf Zugriff auf die Ressource gewährt werden.

Um eine sichere standardmäßige Auswahl zu fördern, lässt Azure DevOps das Kontrollkästchen jetzt unbemerkt.

New Generic Service Connection for Changes to Approvals

Verbesserte Sicherheit beim Erstellen von Pullanforderungen aus verzweigten GitHub-Repositorys

Sie können Azure DevOps verwenden, um Ihr öffentliches GitHub-Repository zu erstellen und zu testen. Wenn Sie ein öffentliches GitHub-Repository haben, können Sie mit Entwicklern auf der ganzen Welt zusammenarbeiten, aber es gibt Sicherheitsbedenken im Zusammenhang mit dem Erstellen von Pullanforderungen (PRs) aus verzweigten Repositorys.

Um zu verhindern, dass PRs gitHub-Repositorys verzweigt werden, um unerwünschte Änderungen an Ihren Repositorys vorzunehmen, schränkt Azure DevOps jetzt das GitHub-Zugriffstoken auf schreibgeschützten Bereich ein.

Macos-neueste Bezeichnung zeigt auf macos-12 Image

Das Macos-12 Monterey-Image ist bereit, die Standardversion für die Bezeichnung "macos-latest" in Azure Pipelines von Microsoft gehosteten Agents zu sein. Bis jetzt verweist dieses Label auf macos-11 Big Sur Agents.

Eine vollständige Liste der Unterschiede zwischen macos-12 und macos-11 finden Sie im GitHub-Problem. Eine vollständige Liste der auf dem Image installierten Software finden Sie hier.

Ubuntu-neueste Bezeichnung zeigt auf Ubuntu-22.04 Image

Das Ubuntu-22.04-Image ist bereit, die Standardversion für die ubuntu-neueste Bezeichnung in Von Microsoft gehosteten Agents in Azure Pipelines zu sein. Bis jetzt hat diese Bezeichnung auf ubuntu-20.04 Agents verwiesen.

Eine vollständige Liste der Unterschiede zwischen Ubuntu-22.04 und Ubuntu-20.04 finden Sie im GitHub-Problem. Eine vollständige Liste der auf dem Image installierten Software finden Sie hier.

Nächste Schritte

Hinweis

Diese Features werden in den nächsten zwei bis drei Wochen eingeführt.

Wechseln Sie zu Azure DevOps, und sehen Sie sich an.

Navigieren Sie zu Azure DevOps.

Senden von Feedback

Wir würden uns freuen zu hören, was Sie zu diesen Features halten. Verwenden Sie das Hilfemenü, um ein Problem zu melden oder einen Vorschlag bereitzustellen.

Make a suggestion

Sie können auch Ratschläge und Ihre Fragen von der Community in Stack Overflow beantworten lassen.

Vielen Dank,

Vijay Machiraju