Delen via

Beveiligingsverbeteringen voor REST API voor Azure Pipelines

  • Artikel

Met deze update hebben we de Azure Pipelines REST API-beveiliging voor klassieke build-pijplijnen verbeterd. Het autorisatiebereik van de buildtaak is nu standaard Project in plaats van Projectverzameling.

Bekijk de releaseopmerkingen voor meer informatie.

Azure Pipelines

Azure-artefacten

Azure Pipelines

Ondersteuning voor Azure Pipelines voor San Diego-release van ServiceNow

Azure Pipelines heeft een bestaande integratie met ServiceNow. De integratie is afhankelijk van een app in ServiceNow en een extensie in Azure DevOps. We hebben de app nu bijgewerkt om te werken met de San Diego-versie van ServiceNow. Voer een upgrade uit naar de nieuwe versie van de app (4.205.2) vanuit de ServiceNow Store om ervoor te zorgen dat deze integratie werkt.

Zie de documentatie Integreren met ServiceNow Change Management voor meer informatie.

Verbeteringen in de beveiliging van DE REST API voor pijplijnen

De meeste REST API's in Azure DevOps maken gebruik van PAT-tokens binnen het bereik. Voor sommige hiervan zijn echter pat-tokens met een volledig bereik vereist. Met andere woorden, u moet een PAT-token maken door 'Volledige toegang' te selecteren om een aantal van deze API's te kunnen gebruiken. Dergelijke tokens vormen een beveiligingsrisico omdat ze kunnen worden gebruikt om een REST API aan te roepen. We hebben verbeteringen aangebracht in Azure DevOps om de behoefte aan tokens met een volledig bereik weg te nemen door elke REST API in een specifiek bereik op te nemen. Als onderdeel van deze inspanning vereist de REST API voor het bijwerken van pijplijnmachtigingen voor een resource nu een specifiek bereik. Het bereik is afhankelijk van het type resource dat wordt geautoriseerd voor gebruik:

  • Code (read, write, and manage) voor resources van het type repository
  • Agent Pools (read, manage) of Environment (read, manage) voor resources van het type queue en agentpool
  • Secure Files (read, create, and manage) voor resources van het type securefile
  • Variable Groups (read, create and manage) voor resources van het type variablegroup
  • Service Endpoints (read, query and manage) voor resources van het type endpoint
  • Environment (read, manage) voor resources van het type environment

Als u machtigingen voor pijplijnen bulksgewijs wilt bewerken, hebt u nog steeds een pat-token met volledig bereik nodig. Zie de documentatie Pijplijnmachtigingen - Pijplijnmachtigingen bijwerken voor resources voor meer informatie over het bijwerken van pijplijnmachtigingen voor resources .

Proxy-URL's gebruiken voor GitHub Enterprise-integratie

Azure Pipelines kan worden geïntegreerd met on-premises GitHub Enterprise-servers om continue integratie en PULL-builds uit te voeren. In sommige gevallen bevindt de GitHub Enterprise Server zich achter een firewall en moet het verkeer worden gerouteerd via een proxyserver. Ter ondersteuning van dit scenario kunt u met de GitHub Enterprise Server-serviceverbindingen in Azure DevOps een proxy-URL configureren. Voorheen werd niet al het verkeer van Azure DevOps gerouteerd via deze proxy-URL. Met deze update zorgen we ervoor dat we het volgende verkeer van Azure Pipelines routeren om via de proxy-URL te gaan:

  • Vertakkingen ophalen
  • Informatie over pull-aanvragen ophalen
  • Status van rapportbuild

Verbeteringen in geplande builds

Er is een probleem opgelost waardoor de planningsgegevens van een pijplijn beschadigd raakten en de pijplijn niet werd geladen. Dit is bijvoorbeeld het gevolg wanneer de naam van de vertakking een bepaald aantal tekens overschrijdt.

Aankondiging van buitengebruikstelling van Windows 2016-installatiekopieën

Azure Pipelines verwijdert op 31 juli de installatiekopie van Windows 2016 (vs2017-win2016) uit onze gehoste pools. Raadpleeg onze blogpost Hosted Pipelines Image De afschaffing voor meer informatie over het identificeren van pijplijnen met behulp van afgeschafte installatiekopieën, waaronder Windows 2016.

Aankondiging van afschaffing van macOS 10.15 Catalina-installatiekopieën (bijgewerkt)

Azure Pipelines beëindigt macOS 10.15 Catalina-installatiekopieën (macOS-1015) in onze gehoste pools. Deze afbeelding wordt op 30 september buiten gebruik gesteld. U ziet mogelijk langere wachtrijtijden.

Om u te helpen beter te bepalen welke pijplijnen gebruikmaken van de macOS-1015-installatiekopieën, plannen we brownouts. Taken mislukken tijdens een brown-outperiode.

  • Waarschuwingsberichten worden weergegeven bij pijplijnuitvoeringen met behulp van de macOS-1015-installatiekopieën
  • Er is een script beschikbaar om u te helpen pijplijnen te vinden met behulp van afgeschafte installatiekopieën, waaronder macOS-1015
  • We plannen korte "brownouts". MacOS-1015-uitvoeringen mislukken tijdens de brown-outperiode. Daarom is het raadzaam om uw pijplijnen te migreren vóór de brown-outs.

Planning voor brown-out (bijgewerkt)

  • 7 oktober, 10:00 UTC - 7 oktober 16:00 UTC
  • 14 oktober, 12:00 UTC - 14 oktober 18:00 UTC
  • 21 oktober, 14:00 UTC - 21 oktober, 20:00 UTC
  • 28 oktober, 16:00 UTC - 28 oktober, 22:00 UTC
  • 4 november, 22:00 UTC - 5 november 04:00 UTC
  • 11 november, 04:00 UTC - 11 november, 10:00 UTC
  • 18 november, 06:00 UTC - 18 november, 12:00 UTC
  • 25 november, 08:00 UTC - 25 november, 14:00 UTC

Updates de servicehook-gebeurtenis 'Status van fase uitvoeren gewijzigd'

Met servicehook kunt u taken uitvoeren op andere services wanneer er gebeurtenissen plaatsvinden in uw project in Azure DevOps. De status Van de fase Uitvoeren is gewijzigd is een van deze gebeurtenissen. De gebeurtenis Status van uitvoering is gewijzigd, moet informatie bevatten over de uitvoering, waaronder de naam van de pijplijn en de status van de algehele uitvoering. Voorheen bevatte het alleen informatie over de id en naam van de uitvoering. Met deze update hebben we wijzigingen aangebracht in de gebeurtenis om ontbrekende informatie op te nemen.

Het standaardbereik van toegangstokens in klassieke build-pijplijnen wijzigen

Om de beveiliging van klassieke build-pijplijnen te verbeteren, wordt bij het maken van een nieuwe taak het autorisatiebereik van de buildtaak standaard Project. Tot nu toe was dit projectverzameling. Meer informatie over taaktoegangstokens. Deze wijziging heeft geen invloed op een van de bestaande pijplijnen. Dit is alleen van invloed op nieuwe klassieke build-pijplijnen die u vanaf dit moment maakt.

Azure-artefacten

Standaardfeedmachtigingen bijgewerkt

Project Collection Build Service-accounts krijgen nu standaard de rol Samenwerker wanneer een nieuwe Azure Artifacts-feed met organisatiebereik wordt gemaakt, in plaats van de huidige rol Inzender .

Volgende stappen

Notitie

Deze functies worden in de komende twee tot drie weken uitgerold.

Ga naar Azure DevOps en neem een kijkje.

Ga naar Azure DevOps

Feedback geven

We horen graag wat u vindt van deze functies. Gebruik het menu Help om een probleem te melden of een suggestie te doen.

Een suggestie doen

U kunt ook advies krijgen en uw vragen worden beantwoord door de community op Stack Overflow.

Met vriendelijke groet,

Vijay Machiraju