Uw benadering bepalen voor het beveiligen van YAML-pijplijnen
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Overweeg om een incrementele benadering te gebruiken om de beveiliging van uw pijplijnen te verbeteren. Hoewel het ideaal is om alle richtlijnen te implementeren die we bieden, wordt u niet overweldigd door het aantal aanbevelingen. Begin met het aanbrengen van enkele verbeteringen, zelfs als u niet meteen alles kunt aanpakken.
Beveiligings-interafhankelijkheid
Aanbevelingen voor beveiliging zijn onderling afhankelijk. Uw houding is afhankelijk van de specifieke aanbevelingen die u implementeert, die op zijn beurt overeenkomen met de zorgen van uw DevOps- en beveiligingsteams en het organisatiebeleid.
Overweeg de prioriteit van beveiliging op kritieke gebieden te prioriteren terwijl u bepaalde afwegingen voor het gemak in andere aspecten accepteert. Als u bijvoorbeeld sjablonen gebruiktextends om te vereisen dat alle builds in containers worden uitgevoerd, hebt u mogelijk geen afzonderlijke agentgroep nodig voor elk project.
Beginnen met een bijna lege sjabloon
Begin met een minimale sjabloon en dwing geleidelijk extensies af. Deze aanpak zorgt ervoor dat u bij het implementeren van beveiligingsprocedures een gecentraliseerd uitgangspunt hebt dat alle pijplijnen omvat.
Zie Sjablonen voor meer informatie.
Het maken van klassieke pijplijnen uitschakelen
Notitie
Deze functie is beschikbaar vanaf Azure DevOps Server 2022.1.
Schakel het maken van klassieke build- en release-pijplijnen uit als u uitsluitend YAML-pijplijnen gebruikt. Deze voorzorgsmaatregel voorkomt een beveiligingsprobleem dat voortvloeit uit YAML en klassieke pijplijnen die dezelfde resources delen, zoals serviceverbindingen.
Schakel het maken van klassieke build-pijplijnen en klassieke release-pijplijnen onafhankelijk uit. Wanneer beide zijn uitgeschakeld, kunnen er geen klassieke build-pijplijn, klassieke releasepijplijn, taakgroepen of implementatiegroepen worden gemaakt via de gebruikersinterface of de REST API.
Als u het maken van klassieke pijplijnen wilt uitschakelen, gaat u naar de instellingen van uw organisatie of projectinstellingen en selecteert u instellingen in de sectie Pijplijnen. In de sectie Algemeen schakelt u het maken van klassieke build-pijplijnen uit en schakelt u het maken van klassieke release-pijplijnen uit.
Als u deze functie op organisatieniveau inschakelt, is deze van toepassing op alle projecten binnen die organisatie. Als u het echter uitgeschakeld laat, kunt u deze selectief inschakelen voor specifieke projecten.
Om de beveiliging van nieuw gemaakte organisaties te verbeteren, beginnend met Sprint 226, schakelen we standaard het maken van klassieke build- en release-pijplijnen voor nieuwe organisaties uit.