Determinación del enfoque para proteger canalizaciones YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Considere la posibilidad de adoptar un enfoque incremental para mejorar la seguridad de las canalizaciones. Aunque es ideal implementar todas las instrucciones que proporcionamos, no se agote por el número de recomendaciones. Empiece por realizar algunas mejoras, incluso si no puede abordar todo inmediatamente.
Interdependencia de seguridad
Las recomendaciones de seguridad son interdependientes. La postura se basa en las recomendaciones específicas que implemente, que, a su vez, se alinean con sus preocupaciones de DevOps y las directivas organizativas de los equipos de seguridad y de devOps.
Considere la posibilidad de priorizar la seguridad en áreas críticas al aceptar algunas ventajas para mayor comodidad en otros aspectos. Por ejemplo, si usa plantillas extends para exigir que todas las compilaciones se ejecuten en contenedores, es posible que no necesite un grupo de agentes distinto para cada proyecto.
Comenzar con una plantilla casi vacía
Comience con una plantilla mínima y aplique gradualmente las extensiones. Este enfoque garantiza que a medida que implemente prácticas de seguridad, tiene un punto de partida centralizado que cubre todas las canalizaciones.
Para obtener más información, consulte Plantillas.
Deshabilitación de la creación de canalizaciones clásicas
Nota:
Esta característica está disponible a partir de Azure DevOps Server 2022.1.
Deshabilite la creación de canalizaciones de compilación y versión clásicas si usa exclusivamente canalizaciones YAML. Esta precaución evita un problema de seguridad derivado de YAML y canalizaciones clásicas que comparten los mismos recursos, como las conexiones de servicio.
Deshabilite de forma independiente la creación de canalizaciones de compilación clásicas y canalizaciones de versión clásicas. Cuando ambos están deshabilitados, no se puede crear ninguna canalización de compilación clásica, canalización de versión clásica, grupos de tareas o grupos de implementación a través de la interfaz de usuario o la API REST.
Para deshabilitar la creación de canalizaciones clásicas, vaya a la configuración de la organización o Configuración del proyecto y, en la sección Canalizaciones , seleccione Configuración. En la sección General, active Deshabilitar la creación de canalizaciones de compilación clásicas y Deshabilitar la creación de canalizaciones de versión clásicas.
Si habilita esta característica en el nivel de organización, se aplica a todos los proyectos de esa organización. Sin embargo, si lo deja deshabilitado, puede habilitarlo de forma selectiva para proyectos específicos.
Para mejorar la seguridad de las organizaciones recién creadas, a partir de Sprint 226, de forma predeterminada, deshabilitamos la creación de canalizaciones de compilación y versión clásicas para nuevas organizaciones.