Delen via

Verbeteringen voor het versterken van de beveiliging van pijplijnen

  • Artikel

Met deze update bevatten we verbeteringen om de beveiliging in Azure DevOps te versterken. U kunt nu een door het systeem toegewezen beheerde identiteit gebruiken bij het maken van Docker Registry-serviceverbindingen voor Azure Container Registry. Daarnaast hebben we uitgebreid toegangsbeheer voor agentpools, zodat u het gebruik van resources in een YAML-pijplijn kunt opgeven. Ten slotte beperken we het GitHub-toegangstoken voor geforkte publieke GitHub-repositories tot alleen-lezen toegang.

Bekijk de releaseopmerkingen voor meer informatie.

Azure Boards

Azure Pipelines

Azure Boards

U kunt nu de actie Koppeling kopiëren gebruiken om een koppeling naar een specifieke opmerking bij een werkitem te kopiëren. U kunt die koppeling vervolgens plakken in een opmerking of beschrijving van een ander werkitem. Wanneer erop wordt geklikt, wordt het werkitem geopend en wordt de opmerking gemarkeerd.

GIF om de opmerkingenlink te kopiëren.

Deze functie heeft prioriteit gekregen op basis van dit ticket voor communitysuggesties.

Notitie

Deze functie is alleen beschikbaar met de New Boards Hubs preview-.

Azure Pipelines

Container Registry-serviceverbindingen kunnen nu gebruikmaken van Azure Managed Identities

U kunt een door het systeem toegewezen beheerde identiteit gebruiken bij het maken van Docker Registry-serviceverbindingen voor Azure Container Registry. Hierdoor hebt u toegang tot Azure Container Registry met behulp van een beheerde identiteit die is gekoppeld aan een zelf-hostende Azure Pipelines-agent, waardoor u geen referenties meer hoeft te beheren.

nieuwe Docker-registerserviceverbinding voor wijzigingen in goedkeuringen

Notitie

De beheerde identiteit die wordt gebruikt voor toegang tot Azure Container Registry, heeft de juiste RBAC-toewijzing (Op rollen gebaseerd toegangsbeheer) van Azure nodig, bijvoorbeeld de AcrPull- of AcrPush-rol.

Wanneer u pijplijnmachtigingen van een beveiligde resource, zoals een serviceverbinding, beperkt, wordt in het bijbehorende auditgebeurtenislogboek nu correct aangegeven dat de resource is niet-geautoriseerde voor het project.

pijplijntoestemmingen voor wijzigingen van goedkeuringen

Zorg ervoor dat uw organisatie alleen YAML-pijplijnen gebruikt

Met Azure DevOps kunt u er nu voor zorgen dat uw organisatie alleen YAML-pijplijnen gebruikt door het maken van klassieke build-pijplijnen, klassieke releasepijplijnen, taakgroepen en implementatiegroepen uit te schakelen. Uw bestaande klassieke pijplijnen blijven worden uitgevoerd en u kunt deze bewerken, maar u kunt geen nieuwe pijplijnen maken.

U kunt het maken van klassieke pijplijnen op organisatie- of projectniveau uitschakelen door de bijbehorende wisselknoppen in te schakelen. De wisselknoppen vindt u in project- of organisatie-instellingen -> pijplijnen -> instellingen.

Uitschakelen van het maken van Klassieke Build en Klassieke Pijplijn voor wijzigingen aan goedkeuringen

De wisselknopstatus is standaard uitgeschakeld en u hebt beheerdersrechten nodig om de status te wijzigen. Als de wisselknop op organisatieniveau is ingeschakeld, wordt het uitschakelen afgedwongen voor alle projecten. Anders is elk project vrij om te kiezen of u de uitschakeling wilt afdwingen of niet.

Wanneer het maken van klassieke pijplijnen wordt uitgeschakeld, mislukken REST API's met betrekking tot het maken van klassieke pijplijnen, taakgroepen en implementatiegroepen. REST API's die YAML-pijplijnen maken, werken.

Het uitschakelen van het maken van klassieke pijplijnen is opt-in voor bestaande organisaties. Voor nieuwe organisaties is het voorlopig opt-in.

Nieuw PAT-bereik vereist voor het bijwerken van de algemene instellingen van de pijplijn

Voor het aanroepen van de Algemene instellingen - Update REST API is nu een PAT met bereik Project en Team -> Lezen & Schrijvenvereist.

project en team

Gedetailleerd toegangsbeheer voor agentpools

Met agentpools kunt u de machines bepalen en beheren waarop uw pijplijnen draaien.

Als u eerder een aangepaste agentpool hebt gebruikt, was het beheren van welke pijplijnen er toegang toe hadden, grof ingesteld. U kunt toestaan dat alle pijplijnen deze kunnen gebruiken, of u kunt elke pijplijn om toestemming vragen. Als u een pijplijntoegangsmachtiging voor een agentgroep hebt verleend, kunt u deze helaas niet intrekken met behulp van de gebruikersinterface van pijplijnen.

Azure Pipelines biedt nu een gedetailleerd toegangsbeheer voor agentpools. De ervaring is vergelijkbaar met de ervaring voor het beheren van pijplijnmachtigingen voor serviceverbindingen.

FabrikamFiber-agentgroep voor wijzigingen in goedkeuringen

Voorkom dat alle pijplijnen toegang krijgen tot beschermde bronnen

Wanneer u een beveiligde resource maakt, zoals een serviceverbinding of een omgeving, kunt u het selectievakje Toegang verlenen aan alle pijplijnen inschakelen. Tot nu toe is deze optie standaard ingeschakeld.

Hoewel dit het eenvoudiger maakt voor pijplijnen om nieuwe beveiligde resources te gebruiken, is het nadeel dat het onbedoeld te veel pijplijnen rechten verleent om toegang te krijgen tot de resource.

Om een veilige standaardkeuze te promoten, laat Azure DevOps het selectievakje nu uitgeschakeld.

nieuwe algemene serviceverbinding voor wijzigingen in goedkeuringen

Verbeterde beveiliging bij het bouwen van pull-aanvragen vanuit geforkte GitHub-opslagplaatsen

U kunt Azure DevOps gebruiken om uw openbare GitHub-opslagplaats te bouwen en te testen. Als u een openbare GitHub-opslagplaats hebt, kunt u samenwerken met ontwikkelaars over de hele wereld, maar gaan deze gepaard met beveiligingsproblemen met betrekking tot het bouwen van pull requests (PR's) van geforkte repositories.

Om te voorkomen dat PR's uit geforkte GitHub-repositories ongewenste wijzigingen aanbrengen in uw repositories, beperkt Azure DevOps nu het GitHub-toegangstoken tot een alleen-lezen bereik.

Macos-latest label verwijst naar macos-12 image

De macos-12 Monterey-installatiekopie is klaar om de standaardversie te zijn voor het label 'macos-latest' in door Microsoft gehoste agents in Azure Pipelines. Tot nu toe wees dit label op macos-11 Big Sur agenten.

Ga naar het GitHub-probleemvoor een volledige lijst met verschillen tussen macos-12 en macos-11. Voor een volledige lijst met software die op de afbeelding is geïnstalleerd, kun je hier controleren.

Ubuntu-meest recente label verwijst naar ubuntu-22.04-installatiekopie

De ubuntu-22.04-installatiekopie is gereed om de standaardversie te zijn voor het ubuntu-latest-label in Azure Pipelines bij door Microsoft gehoste agents. Tot nu toe wijst dit label op ubuntu-20.04-agents.

Ga naar het GitHub-probleemvoor een volledige lijst met verschillen tussen ubuntu-22.04 en ubuntu-20.04. Controleer hiervoor een volledige lijst met software op de afbeelding.

Volgende stappen

Notitie

Deze functies worden de komende twee tot drie weken uitgerold.

Ga naar Azure DevOps en kijk eens.

Ga naar Azure DevOps-

Feedback geven

We horen graag wat u van deze functies vindt. Gebruik het Help-menu om een probleem te melden of een suggestie op te geven.

een suggestie doen

U kunt ook advies krijgen en uw vragen beantwoord door de community op Stack Overflow.

Bedankt

Vijay Machiraju