Miglioramenti per rafforzare la sicurezza delle pipeline

Con questo aggiornamento vengono inclusi miglioramenti per rafforzare la sicurezza in Azure DevOps. È ora possibile usare un'identità gestita assegnata dal sistema durante la creazione di connessioni al servizio Registro Docker per Registro Azure Container. È stata inoltre migliorata la gestione degli accessi per i pool di agenti per consentire di specificare l'uso delle risorse all'interno di una pipeline YAML. Infine, si limita il token di accesso GitHub per i repository GitHub pubblici fork in modo da avere un ambito di sola lettura.

Per informazioni dettagliate, vedere le note sulla versione.

Azure Boards

• Copiare i collegamenti ai commenti

Azure Pipelines

• Le connessioni al servizio Registro Container possono ora usare identità gestite di Azure
• Eventi del log di controllo correlati all'autorizzazione della pipeline
• Assicurarsi che l'organizzazione usi solo pipeline YAML
• Nuovo ambito pat necessario per aggiornare il Impostazioni generale della pipeline
• Gestione degli accessi con granularità fine per i pool di agenti
• Impedire di concedere a tutte le pipeline l'accesso alle risorse protette
• Maggiore sicurezza durante la compilazione di richieste pull dai repository GitHub con fork
• L'etichetta macos-latest punterà all'immagine macos-12
• L'etichetta ubuntu-latest punterà all'immagine ubuntu-22.04

Azure Boards

Copiare i collegamenti ai commenti

È ora possibile usare l'azione Copia collegamento per copiare un collegamento a un commento specifico dell'elemento di lavoro. È quindi possibile incollare tale collegamento in un altro commento o descrizione dell'elemento di lavoro. Quando si fa clic su , l'elemento di lavoro verrà aperto e il commento viene evidenziato.

Questa funzionalità è stata assegnata in ordine di priorità in base a questo ticket di suggerimento della community.

Nota

Questa funzionalità sarà disponibile solo con l'anteprima di New Boards Hubs.

Azure Pipelines

Le connessioni al servizio Registro Container possono ora usare identità gestite di Azure

È possibile usare un'identità gestita assegnata dal sistema durante la creazione di connessioni al servizio Registro Docker per Registro Azure Container. In questo modo è possibile accedere alle Registro Azure Container usando un'identità gestita associata a un agente di Azure Pipelines self-hosted, eliminando la necessità di gestire le credenziali.

Nota

L'identità gestita usata per accedere a Registro Azure Container richiederà l'assegnazione di Controllo di accesso (RBAC) appropriata, ad esempio il ruolo AcrPull o AcrPush.

Eventi del log di controllo correlati alle autorizzazioni della pipeline

Quando si limitano le autorizzazioni della pipeline di una risorsa protetta, ad esempio una connessione al servizio, il registro eventi di controllo associato ora indica correttamente che la risorsa non è stata autorizzata per il progetto.

Assicurarsi che l'organizzazione usi solo pipeline YAML

Azure DevOps consente ora di assicurarsi che l'organizzazione usi solo pipeline YAML, disabilitando la creazione di pipeline di compilazione classiche, pipeline di versione classica, gruppi di attività e gruppi di distribuzione. Le pipeline classiche esistenti continueranno a essere eseguite e sarà possibile modificarle, ma non sarà possibile crearne di nuove.

È possibile disabilitare la creazione di pipeline classiche a livello di organizzazione o di progetto attivando gli interruttori corrispondenti. Gli interruttori sono disponibili in Project/Organization Impostazioni - Pipelines ->> Impostazioni.

Lo stato di attivazione/disattivazione è disattivato per impostazione predefinita e saranno necessari diritti di amministratore per modificare lo stato. Se l'interruttore è attivato a livello di organizzazione, la disabilitazione viene applicata per tutti i progetti. In caso contrario, ogni progetto è libero di scegliere se applicare o meno la disabilitazione.

Quando si disabilita la creazione di pipeline classiche, le API REST correlate alla creazione di pipeline classiche, gruppi di attività e gruppi di distribuzione avranno esito negativo. Le API REST che creano pipeline YAML funzioneranno.

La disabilitazione della creazione di pipeline classiche è il consenso esplicito per le organizzazioni esistenti. Per le nuove organizzazioni, è il consenso esplicito per il momento.

Nuovo ambito pat necessario per aggiornare il Impostazioni generale della pipeline

Per richiamare il Impostazioni Generale - Aggiornare l'API REST ora richiede un pat con ambito Progetto e team -> Lettura e scrittura.

Gestione degli accessi con granularità fine per i pool di agenti

I pool di agenti consentono di specificare e gestire i computer in cui vengono eseguite le pipeline.

In precedenza, se è stato usato un pool di agenti personalizzato, la gestione delle pipeline a cui è possibile accedere è stata eseguita con granularità grossolana. È possibile consentire a tutte le pipeline di usarlo oppure richiedere a ogni pipeline di richiedere l'autorizzazione. Sfortunatamente, dopo aver concesso un'autorizzazione di accesso alla pipeline a un pool di agenti, non è stato possibile revocarlo usando l'interfaccia utente delle pipeline.

Azure Pipelines offre ora una gestione degli accessi con granularità fine per i pool di agenti. L'esperienza è simile a quella per la gestione delle autorizzazioni della pipeline per le Connessione del servizio.

Impedire di concedere a tutte le pipeline l'accesso alle risorse protette

Quando si crea una risorsa protetta, ad esempio una connessione al servizio o un ambiente, è possibile selezionare la casella di controllo Concedi autorizzazione di accesso a tutte le pipeline . Fino ad ora, questa opzione è stata selezionata per impostazione predefinita.

Anche se ciò rende più semplice per le pipeline l'uso di nuove risorse protette, il contrario è che favorisce accidentalmente la concessione di troppe pipeline il diritto di accedere alla risorsa.

Per alzare di livello una scelta sicura per impostazione predefinita, Azure DevOps lascia ora deselezionata la casella di controllo.

Maggiore sicurezza durante la compilazione di richieste pull dai repository GitHub con fork

È possibile usare Azure DevOps per compilare e testare il repository GitHub pubblico. La disponibilità di un repository GitHub pubblico consente di collaborare con sviluppatori in tutto il mondo, ma presenta problemi di sicurezza correlati alla compilazione di richieste pull (PRS) dai repository con fork.

Per impedire che le richieste pull dai repository GitHub copiate tramite fork vengano apportate modifiche indesiderate ai repository, Azure DevOps limita ora il token di accesso gitHub per avere un ambito di sola lettura.

L'etichetta macos-latest punterà all'immagine macos-12

L'immagine macos-12 Monterey è pronta per essere la versione predefinita per l'etichetta "macos-latest" negli agenti ospitati da Microsoft in Azure Pipelines. Fino ad ora, questa etichetta puntava agli agenti macos-11 Big Sur.

Per un elenco completo delle differenze tra macos-12 e macos-11, visitare il problema di GitHub. Per un elenco completo del software installato nell'immagine, vedere qui.

L'etichetta ubuntu-latest punterà all'immagine ubuntu-22.04

L'immagine ubuntu-22.04 è pronta per essere la versione predefinita per l'etichetta ubuntu-latest negli agenti ospitati da Microsoft in Azure Pipelines. Fino ad ora, questa etichetta punta agli agenti ubuntu-20.04.

Per un elenco completo delle differenze tra ubuntu-22.04 e ubuntu-20.04, visitare il problema di GitHub. Per un elenco completo del software installato nell'immagine, vedere qui.

Passaggi successivi

Nota

Queste funzionalità verranno implementate nelle prossime due o tre settimane.

Passare ad Azure DevOps e dare un'occhiata.

Passare ad Azure DevOps

Come fornire commenti e suggerimenti

Ci piacerebbe sentire ciò che pensi a queste funzionalità. Usare il menu ? per segnalare un problema o fornire un suggerimento.

È anche possibile ottenere consigli e risposte alle domande della community su Stack Overflow.

Grazie,

Vijay Machiraju