Condividi tramite

Miglioramenti alle funzionalità di analisi dei segreti e al nuovo hub scheda attivato per impostazione predefinita

  • Articolo

Siamo lieti di annunciare che stiamo implementando una panoramica della sicurezza, un unico riquadro di visualizzazione panoramica per gli avvisi e l'abilitazione della sicurezza avanzata e abbiamo migliorato anche le funzionalità di analisi dei segreti aggiungendo altri modelli di partner in GitHub Advanced Security! Ciò aumenterà significativamente le capacità di rilevamento della funzionalità di analisi dei segreti, fornendo un ambiente più sicuro per i progetti.

Con questo aggiornamento, stiamo per rendere l'esperienza predefinita di New Boards Hub. Introduce una progettazione aggiornata, prestazioni migliori e accessibilità avanzata. Vengono inoltre visualizzate in anteprima due nuove funzionalità all'interno di Boards: collegamenti AB# nelle richieste pull di GitHub e una ricerca di repository GitHub più affidabile, rimuovendo il rischio di timeout.

Per informazioni dettagliate, vedere le note sulla versione.

GitHub Advanced Security per Azure DevOps

Azure Boards

Azure Pipelines

GitHub Advanced Security per Azure DevOps

Viste di rischio e copertura della sicurezza

È ora possibile visualizzare una visualizzazione a livello di organizzazione dei repository e dei relativi avvisi di sicurezza avanzata e stato di abilitazione della sicurezza avanzata di tutti i repository nell'organizzazione.

La funzionalità di panoramica della sicurezza per sicurezza avanzata è disponibile passando a Panoramica della sicurezza delle impostazioni > dell'organizzazione. Per altre informazioni, vedere Panoramica della sicurezza in GitHub Advanced Security per Azure DevOps.

Set espanso di rilevamenti di analisi dei segreti

Stiamo espandendo il set di modelli di partner che possono essere rilevati con l'analisi dei segreti. Questa espansione introduce molti modelli di attendibilità elevata per i nuovi tipi di token. Questi nuovi modelli includono un numero elevato di provider di risorse di Azure e altri provider SaaS tramite il programma partner di analisi dei segreti di Sicurezza avanzata gitHub.

Per altre informazioni sui tipi di modelli di partner rilevati da GitHub Advanced Security Secret Scanning, vedere Avvisi di analisi dei segreti per GitHub Advanced Security per Azure DevOps.

L'analisi dei segreti rileva ora i modelli non provider

L'analisi dei segreti ora rileva molti modelli non di provider, tra cui:

  • Intestazioni di autenticazione HTTP
  • Stringhe di connessione MongoDB
  • MySQL/Postgres/SQL Server stringa di connessione s
  • Chiavi private OpenSSH
  • Chiavi private RSA

Nota

Il rilevamento dei modelli non provider è attualmente in anteprima e soggetto a modifiche.

Il rilevamento di questi modelli è abilitato per tutti i repository abilitati per la sicurezza avanzata di GitHub in Azure DevOps. I segreti risultanti vengono visualizzati in un nuovo filtro separato nell'elenco di avvisi di analisi dei segreti denominato "Attendibilità".

Per altre informazioni sui tipi di modelli rilevati da GitHub Advanced Security Secret Scanning, vedere Avvisi di analisi dei segreti per GitHub Advanced Security per Azure DevOps.

Azure Boards

Nuovo hub boards attivato per impostazione predefinita

Se si è tenuto al passo con lo stato di avanzamento di New Boards Hub, probabilmente si è consapevoli che l'anteprima è stata attiva per molto tempo. Infatti, abbiamo annunciato ufficialmente l'anteprima di New Boards Hub poco più di due anni fa.

Oggi siamo felici di annunciare la fase finale del nostro viaggio. Stiamo iniziando il processo di creazione di New Boards Hub l'esperienza predefinita per tutti i nostri clienti. Questo avviene in due onde, con il primo inizio a metà aprile. Il processo di implementazione per ogni onda dura diverse settimane, man mano che si distribuisce gradualmente a un set diverso di clienti ogni altro giorno.

Per altre informazioni, vedere il post di blog più recente qui.

Dopo diverse settimane di anteprima, siamo lieti di annunciare un'esperienza avanzata per il collegamento di elementi di lavoro a GitHub. Cercare e selezionare il repository desiderato ed eseguire il drill-down per trovare e collegare la richiesta pull o il commit specifici. Non è più necessario apportare modifiche a più finestre e copiare/incollare (anche se questa opzione è ancora disponibile).

Gif per demo Aggiungere miglioramenti ai collegamenti.

Nota

Questa funzionalità è disponibile solo nell'anteprima di New Boards Hub.This feature is only available in the New Boards Hub preview.

Nell'ambito dei miglioramenti continui apportati all'integrazione di Azure Boards + GitHub, viene visualizzata in anteprima una funzionalità che migliora l'esperienza con i collegamenti AB#. Con questo aggiornamento, i collegamenti AB# verranno ora visualizzati direttamente nella sezione Sviluppo della richiesta pull di GitHub. Ciò significa che è possibile visualizzare gli elementi di lavoro collegati senza la necessità di spostarsi tra descrizione o commenti, ottenendo un accesso più semplice a tali collegamenti AB#.

Screenshot dei collegamenti AB#.

Questi collegamenti saranno disponibili solo quando si usa AB# nella descrizione della richiesta pull. Non vengono visualizzati se si collega direttamente dalla richiesta pull dall'elemento di lavoro. La rimozione del collegamento AB# dalla descrizione lo rimuoverà anche dal controllo Sviluppo.

Se sei interessato a partecipare all'anteprima, contattaci direttamente tramite posta elettronica. Assicurarsi di includere il nome dell'organizzazione GitHub (github.com/{nome organizzazione}).

Miglioramenti della ricerca nel repository GitHub (anteprima)

In precedenza, la connessione di un progetto Azure DevOps a un'organizzazione GitHub con migliaia di repository era complessa. I clienti con cui molti repository GitHub possono riscontrare errori di timeout o tempi di attesa lunghi. Oggi stiamo annunciando un'anteprima che sblocca le organizzazioni GitHub di grandi dimensioni. È ora possibile cercare e selezionare tra migliaia di repository senza il rischio di problemi di timeout.

Siamo lieti di abilitare questa funzionalità su richiesta. Se si è interessati, inviare il nome dell'organizzazione di Azure DevOps (dev.azure.com/{organizzazione}).

Azure Pipelines

Modificare l'autorizzazione di configurazione della compilazione della coda

Per migliorare il comportamento di sicurezza delle pipeline, viene aggiunta una nuova autorizzazione della pipeline denominata Modifica configurazione della compilazione della coda che controlla chi può definire i valori delle variabili impostate in fase di coda e dei parametri di runtime free-text.

Screenshot delle autorizzazioni.

Le variabili impostate in fase di coda e parametri consentono di scrivere pipeline YAML configurabili. Purtroppo, introducono anche la possibilità di eseguire l'input dell'utente. La nuova autorizzazione riduce questo rischio.

Gli utenti che dispongono solo dell'autorizzazione di compilazione coda possono accodare le compilazioni e modificare i valori dei parametri di runtime con un set predefinito di valori. Ovvero, è possibile scegliere i valori per i parametri di tipo booleanoppure number hanno impostato la values proprietà .

Se un parametro può contenere testo libero, ad esempio, è di tipo object, solo gli utenti che dispongono dell'autorizzazione Modifica configurazione della compilazione della coda possono impostarlo.

Si consideri una pipeline con i parametri seguenti definiti:

parameters:
- name: Configuration
  type: string
  values:
  - release
  - debug
  default: debug
- name: UseNewDeploymentMethod
  type: boolean
  default: false
- name: AzureSKU
  type: object
  default:
    WUS1: Standard D2lds v5
    WUS2: Standard D2lds v5
    WUS3: Standard D2lds v5

Se un utente che accoda un'esecuzione ha solo l'autorizzazione di compilazione coda. Quando accodano la pipeline, potranno specificare solo i valori dei Configuration parametri e UseNewDeploymentMethod . Non potranno specificare il valore per il AzureSKU parametro.

Screenshot della pipeline di esecuzione.

La modifica delle variabili contrassegnate come impostabili in fase di coda richiede anche l'autorizzazione Modifica configurazione compilazione coda. In caso contrario, non è possibile modificare il valore della variabile.

Screenshot delle variabili.

Per assicurarsi che la nuova autorizzazione non interferisca con i carichi di lavoro quotidiani, tutti gli utenti che dispongono dell'autorizzazione di compilazione coda ricevono l'autorizzazione Modifica configurazione compilazione coda. Successivamente, è possibile rimuovere questa autorizzazione in base alle esigenze.

TFX convalida se un'attività usa uno strumento di esecuzione del nodo end-of-life

Gli autori di attività usano TFX per pubblicare le estensioni. TFX è stato aggiornato per eseguire le convalide in altre versioni dello strumento di esecuzione di Node.

Le estensioni che contengono attività che usano una versione dello strumento di esecuzione dei nodi (EOL) (fino al nodo 16) visualizzeranno questo avviso:

TaskName < > dipende da uno strumento di esecuzione attività che è di fine vita e che verrà rimosso in futuro. Gli autori devono esaminare le linee guida per l'aggiornamento del nodo: https://aka.ms/node-runner-guidance

Passaggi successivi

Nota

Queste funzionalità verranno implementate nelle prossime due o tre settimane.

Passare ad Azure DevOps e dare un'occhiata.

Passare ad Azure DevOps

Come fornire commenti e suggerimenti

Ci piacerebbe sentire ciò che pensi a queste funzionalità. Usare il menu ? per segnalare un problema o fornire un suggerimento.

Inviare un suggerimento

È anche possibile ottenere consigli e risposte alle domande della community su Stack Overflow.

Grazie,

Dan Hellem