Compartir a través de

Mejoras en las funcionalidades de examen de secretos y nuevo centro de placa de forma predeterminada

  • Artículo

Nos complace anunciar que estamos implementando una introducción a la seguridad, un único panel de vista de cristal para las alertas y habilitación de Advanced Security, y también hemos mejorado nuestras funcionalidades de análisis de secretos agregando más patrones de asociados en GitHub Advanced Security. Esto aumentará significativamente las capacidades de detección de nuestra característica de análisis de secretos, lo que proporcionará un entorno más seguro para sus proyectos.

Con esta actualización, estamos cerca de hacer que New Boards Hub sea su experiencia predeterminada. Presentará un diseño actualizado, un mejor rendimiento y una accesibilidad mejorada. Además, vamos a obtener una vista previa de dos características nuevas dentro de Boards: AB# Links on GitHub pull requests and a more reliable GitHub repository search, remove the risk of timeouts.

Consulte las notas de la versión para obtener más información.

GitHub Advanced Security para Azure DevOps

Azure Boards

Azure Pipelines

GitHub Advanced Security para Azure DevOps

Vistas de riesgo y cobertura de información general de seguridad

Ahora puede ver una vista en toda la organización de los repositorios y sus alertas de seguridad avanzada y el estado de habilitación de seguridad avanzada de todos los repositorios de su organización.

Puede encontrar la característica de información general de seguridad para Advanced Security; para ello, vaya a Información general de seguridad de la configuración de la organización>. Para más información, consulte Introducción a la seguridad en GitHub Advanced Security para Azure DevOps.

Conjunto expandido de detecciones de análisis de secretos

Estamos expandiendo el conjunto de patrones de asociados que se pueden detectar con el análisis de secretos. Esta expansión aporta muchos patrones de confianza elevados para los nuevos tipos de token. Estos nuevos patrones incluyen un gran número de proveedores de recursos de Azure y otros proveedores de SaaS a través del programa de asociados de análisis de secretos de Seguridad avanzada de GitHub.

Para obtener más información sobre los tipos de patrones de asociados que detecta el examen de secretos de Seguridad avanzada de GitHub, consulte Alertas de examen de secretos para Seguridad avanzada de GitHub para Azure DevOps.

Análisis de secretos ahora detecta patrones que no son de proveedor

El examen de secretos ahora detecta muchos patrones que no son de proveedor, entre los que se incluyen:

  • Encabezados de autenticación HTTP
  • Cadenas de conexión de MongoDB
  • MySQL/Postgres/SQL Server cadena de conexión s
  • Claves privadas de OpenSSH
  • Claves privadas RSA

Nota:

La detección de patrones que no son de proveedor está actualmente en versión preliminar y está sujeta a cambios.

La detección de estos patrones está habilitada para todos los repositorios habilitados para Seguridad avanzada de GitHub en Azure DevOps. Los secretos resultantes aparecen en un nuevo filtro independiente en la lista de alertas de examen de secretos denominada "Confianza".

Para obtener más información sobre los tipos de patrones que detecta el examen de secretos de Seguridad avanzada de GitHub, consulte Alertas de análisis de secretos para GitHub Advanced Security para Azure DevOps.

Azure Boards

Nuevo concentrador de paneles activado de forma predeterminada

Si ha estado al día con el progreso de New Boards Hub, es probable que tenga en cuenta que la versión preliminar ha estado activa durante bastante tiempo. De hecho, anunciamos oficialmente la versión preliminar de New Boards Hub hace poco más de dos años.

Hoy estamos encantados de anunciar la etapa final de nuestro viaje. Estamos empezando el proceso de hacer que New Boards Hub sea la experiencia predeterminada para todos nuestros clientes. Esto sucede en dos oleadas, con la primera a partir de mediados de abril. El proceso de lanzamiento de cada oleada abarca varias semanas, ya que gradualmente se implementa en un conjunto diferente de clientes cada otro día.

Para obtener más información, consulte nuestra última entrada de blog aquí.

Después de varias semanas en versión preliminar, nos complace anunciar una experiencia mejorada para vincular elementos de trabajo a GitHub. Busque y seleccione el repositorio deseado y explore en profundidad para buscar y vincular a la solicitud de incorporación de cambios específica o confirmación. Ya no es necesario realizar varios cambios de ventana y copiar o pegar (aunque todavía tiene esa opción).

Gif para demostración Agregar mejoras de vínculo.

Nota:

Esta característica solo está disponible en la versión preliminar de New Boards Hub.

Como parte de nuestras mejoras continuas en la integración de Azure Boards + GitHub, estamos previsualizar una característica que mejora la experiencia con vínculos AB#. Con esta actualización, los vínculos de AB# aparecerán directamente en la sección Desarrollo de la solicitud de incorporación de cambios de GitHub. Esto significa que puede ver los elementos de trabajo vinculados sin necesidad de navegar por la descripción o los comentarios, lo que facilita el acceso a esos vínculos AB#.

Capturas de pantalla de vínculos de AB#.

Estos vínculos solo estarán disponibles cuando use AB# en la extracción de la descripción de la solicitud. No se mostrarán si vincula directamente desde la solicitud de incorporación de cambios del elemento de trabajo. Al quitar el vínculo AB# de la descripción también se quitará del control Desarrollo.

Si está interesado en participar en la versión preliminar, póngase en contacto con nosotros directamente por correo electrónico. Asegúrese de incluir el nombre de la organización de GitHub (github.com/{nombre de la organización}).

Conectarse a las mejoras de búsqueda del repositorio de GitHub (versión preliminar)

Anteriormente, la conexión de un proyecto de Azure DevOps a una organización de GitHub con miles de repositorios era difícil. Los clientes con que muchos repositorios de GitHub pueden encontrar errores de tiempo de espera o tiempos de espera largos. Hoy anunciamos una versión preliminar que desbloquea grandes organizaciones de GitHub. Ahora puede buscar y seleccionar entre miles de repositorios sin el riesgo de problemas de tiempo de espera.

Estamos encantados de habilitar esta característica a petición. Si está interesado, envíenos su nombre de organización de Azure DevOps (dev.azure.com/{organization}).

Azure Pipelines

Edición del permiso de configuración de compilación de cola

Para ayudarle a mejorar la posición de seguridad de las canalizaciones, vamos a agregar un nuevo permiso de canalización denominado Editar configuración de compilación de cola que controla quién puede definir los valores de las variables establecidas en tiempo de cola y de parámetros de tiempo de ejecución de texto libre.

Captura de pantalla de los permisos.

Las variables establecidas en tiempo de cola y los parámetros permiten escribir canalizaciones YAML configurables. Desafortunadamente, también presentan la posibilidad de que se ejecute la entrada del usuario. El nuevo permiso mitiga este riesgo.

Los usuarios que solo tienen permiso de compilación de cola pueden poner en cola compilaciones y editar los valores de los parámetros en tiempo de ejecución que tienen un conjunto predefinido de valores. Es decir, pueden elegir valores para los parámetros que son de tipo booleano number tienen establecida la values propiedad .

Si un parámetro puede contener texto libre, por ejemplo, es de tipo object, solo los usuarios que tengan el permiso editar configuración de compilación de cola pueden establecerlo.

Considere una canalización con los parámetros siguientes definidos:

parameters:
- name: Configuration
  type: string
  values:
  - release
  - debug
  default: debug
- name: UseNewDeploymentMethod
  type: boolean
  default: false
- name: AzureSKU
  type: object
  default:
    WUS1: Standard D2lds v5
    WUS2: Standard D2lds v5
    WUS3: Standard D2lds v5

Si un usuario que pone en cola una ejecución solo tiene el permiso De compilación de cola. Cuando ponen en cola la canalización, solo podrán especificar los valores de los Configuration parámetros y UseNewDeploymentMethod . No podrán especificar el valor del AzureSKU parámetro .

Captura de pantalla de la canalización de ejecución.

El cambio de variables marcadas como establecebles en tiempo de cola también requiere el permiso Editar configuración de compilación de cola. De lo contrario, no se puede cambiar el valor de la variable.

Captura de pantalla de las variables.

Para asegurarse de que el nuevo permiso no interfiere con las cargas de trabajo diarias, todos los usuarios que tengan permiso de compilación de cola reciben el permiso editar la configuración de compilación de cola. Después, puede quitar este permiso según sea necesario.

TFX valida si una tarea usa un ejecutor de nodo de fin de ciclo de vida

Los autores de tareas usan TFX para publicar extensiones. TFX se ha actualizado para realizar validaciones en otras versiones del ejecutor de Node.

Las extensiones que contienen tareas que usan una versión del ejecutor de Node que es final de ciclo de vida (EOL) (hasta el nodo 16) verán esta advertencia:

TaskName < > depende de un ejecutor de tareas que esté al final del ciclo de vida y se quite en el futuro. Los autores deben revisar la guía de actualización del nodo: https://aka.ms/node-runner-guidance

Pasos siguientes

Nota:

Estas características se implementarán en las próximas dos a tres semanas.

Vaya a Azure DevOps y eche un vistazo.

Vaya a Azure DevOps.

Cómo enviar sus comentarios

Nos encantaría escuchar lo que piensas sobre estas características. Use el menú de ayuda para notificar un problema o proporcionar una sugerencia.

Hacer una sugerencia

También puede obtener consejos y sus preguntas respondidas por la comunidad en Stack Overflow.

Gracias,

Demonio