Determinare l'approccio per la protezione delle pipeline YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Prendere in considerazione l'adozione di un approccio incrementale per migliorare la sicurezza delle pipeline. Sebbene sia ideale implementare tutte le indicazioni fornite, non essere sovraccaricate dal numero di raccomandazioni. Per iniziare, apportare alcuni miglioramenti, anche se non è possibile risolvere immediatamente tutto.
Interdipendenza della sicurezza
Le raccomandazioni sulla sicurezza sono interdipendenti. Il comportamento si basa sulle raccomandazioni specifiche implementate, che, a loro volta, si allineano alle preoccupazioni e ai criteri dell'organizzazione dei team devOps e della sicurezza.
Valutare la priorità della sicurezza in aree critiche accettando alcuni compromessi per praticità in altri aspetti. Ad esempio, se si usano extends modelli per richiedere l'esecuzione di tutte le compilazioni nei contenitori, potrebbe non essere necessario un pool di agenti separato per ogni progetto.
Iniziare con un modello quasi vuoto
Iniziare con un modello minimo e applicare gradualmente le estensioni. Questo approccio garantisce che quando si implementano procedure di sicurezza, si dispone di un punto di partenza centralizzato che copre tutte le pipeline.
Per altre informazioni, vedere Modelli.
Disabilitare la creazione di pipeline classiche
Nota
Questa funzionalità è disponibile a partire da Azure DevOps Server 2022.1.
Disabilitare la creazione di pipeline di compilazione e versione classiche se si usano esclusivamente pipeline YAML. Questa precauzione impedisce un problema di sicurezza derivante da YAML e pipeline classiche che condividono le stesse risorse, ad esempio le connessioni al servizio.
Disabilitare in modo indipendente la creazione di pipeline di compilazione classiche e pipeline di versione classica. Quando entrambi sono disabilitati, non è possibile creare pipeline di compilazione classica, pipeline di versione classica, gruppi di attività o gruppi di distribuzione tramite l'interfaccia utente o l'API REST.
Per disabilitare la creazione di pipeline classiche, passare alle impostazioni dell'organizzazione o alle impostazioni del progetto, quindi nella sezione Pipeline selezionare Impostazioni. Nella sezione Generale attivare o disattivare la creazione di pipeline di compilazione classiche e Disabilitare la creazione di pipeline di versione classiche.
Se si abilita questa funzionalità a livello di organizzazione, si applica a tutti i progetti all'interno dell'organizzazione. Tuttavia, se lo si lascia disabilitato, è possibile abilitarlo in modo selettivo per progetti specifici.
Per migliorare la sicurezza delle organizzazioni appena create, a partire da Sprint 226, per impostazione predefinita si disabilita la creazione di pipeline di compilazione e versione classiche per le nuove organizzazioni.