Wyrażanie zgody na otrzymywanie powiadomień dotyczących osobistych tokenów dostępu znalezionych w repozytorium publicznym usługi GitHub

Obecnie, gdy odnajdujemy osobisty token dostępu zaewidencjonowany w publicznym repozytorium GitHub, wysyłamy szczegółowe powiadomienie e-mail do właściciela tokenu i rejestrujemy zdarzenie w dzienniku inspekcji organizacji usługi Azure DevOps. Dzięki tej aktualizacji dodaliśmy opcję dla administratorów kolekcji projektów, aby wyrazić zgodę na otrzymywanie powiadomień, gdy osobisty token dostępu użytkownika należącego do organizacji znajduje się w repozytorium publicznym usługi GitHub. Pomoże to administratorom kolekcji projektów wiedzieć, kiedy wyciekły tokeny, które mogą naruszyć bezpieczeństwo kont i danych usługi Azure DevOps.

Aby uzyskać szczegółowe informacje, zapoznaj się z informacjami o wersji.

Ogólne

• Administratorzy kolekcji projektów mogą wyrazić zgodę na powiadomienia związane z osobistymi tokenami dostępu znajdującymi się w publicznym repozytorium GitHub
• Wymuszanie weryfikacji zabezpieczeń dla wszystkich żądań usługi Azure DevOps

Azure Boards

• Przypisane do elementów podrzędnych na kartach Kanban
• Ogólna dostępność zapytania według identyfikatora nadrzędnego

Azure Pipelines

• Obsługa kont usług zarządzanych przez grupę jako konta usługi agenta
• Uruchomienia informacyjne
• Właściwość interfejsu API retentionRules REST definicji kompilacji jest przestarzała

Ogólne

Administratorzy kolekcji projektów mogą wyrazić zgodę na powiadomienia związane z osobistymi tokenami dostępu znajdującymi się w publicznym repozytorium GitHub

Administratorzy kolekcji projektów mogą teraz wyrazić zgodę na otrzymywanie powiadomień, gdy osobisty token dostępu należący do użytkownika w organizacji znajduje się w repozytorium publicznym usługi GitHub.

Przypominamy, że zespół ds. zabezpieczeń usługi Azure DevOps we współpracy z naszymi partnerami w usłudze GitHub skanuje pakiety PAT usługi Azure DevOps zaewidencjonowane w repozytoriach publicznych w usłudze GitHub i wysyła powiadomienie e-mail do właściciela tokenu, jeśli znajdzie się w publicznym repozytorium GitHub. Jest to również rejestrowane w dzienniku inspekcji organizacji usługi Azure DevOps.

Administratorzy kolekcji projektów mogą subskrybować te powiadomienia, przechodząc do pozycji Ustawienia użytkownika —> Powiadomienia —> Nowa subskrypcja

Wymuszanie weryfikacji zabezpieczeń dla wszystkich żądań usługi Azure DevOps

Usługa Azure DevOps zamknie wcześniejszą lukę w zabezpieczeniach, która umożliwiła niektórym użytkownikom obejście weryfikacji zabezpieczeń podczas używania nagłówka X-TFS-FedAuthRedirect w celu wykonywania wywołań do zasobów usługi Azure DevOps. Teraz wszyscy użytkownicy korzystający z tego nagłówka X-TFS-FedAuthRedirect muszą zawsze być zgodni z dowolnymi zasadami usługi Azure Active Directory ustawionymi przez dzierżawę i regularnie logować się do kont usługi Azure DevOps, aby zapewnić, że zawsze mają aktywną sesję użytkownika.

Jeśli używasz tego nagłówka i uważasz za niezgodne, podczas wykonywania wywołań za pomocą polecenia X-TFS-FedAuthRedirect może wystąpić błąd 401. Zalecaną akcją dla osób korzystających z tego nagłówka jest upewnienie się, że Twoje konto spełnia wszystkie wymagane zasady administratora, zaloguj się ponownie do usługi Azure DevOps, aby uzyskać nową sesję użytkownika i kontynuować logowanie do usługi Azure DevOps co najmniej raz na 90 dni, lub czas trwania wszelkich kontroli częstotliwości logowania ustawionych przez administratorów dzierżawy.

Może to również dotyczyć użytkowników programu Visual Studio, ponieważ produkt może również wykonywać wywołania przy użyciu nagłówka X-TFS-FedAuthRedirect w tle. Jeśli napotkasz 401s w produkcie Visual Studio (tj. wszelkie banery lub komunikaty o błędach blokujące dostęp do zasobów usługi Azure DevOps), powyższe porady mają zastosowanie. Upewnij się, że twoje konto spełnia zasady administratora, ponownie zaloguj się do usługi Azure DevOps i kontynuuj wykonywanie tych czynności w regularnych odstępach czasu, aby uniknąć przerw.

Azure Boards

Przypisane do elementów podrzędnych na kartach Kanban

Dodaliśmy element Przypisany do awatara do wszystkich elementów podrzędnych na kartach tablicy Kanban. Teraz ułatwia to zrozumienie, jakie elementy zostały przypisane i do kogo. Możesz również użyć menu kontekstowego, aby szybko przypisać element roboczy.

Uwaga

Ta funkcja jest dostępna w wersji zapoznawczej usługi New Boards Hubs.

Ogólna dostępność zapytania według identyfikatora nadrzędnego

Dzięki tej aktualizacji ogólnie udostępniamy możliwość wykonywania zapytań o elementy robocze według identyfikatora nadrzędnego. Jest to świetna funkcja, jeśli szukasz sposobów, aby uzyskać płaską listę dzieci na podstawie rodzica.

Azure Pipelines

Obsługa kont usług zarządzanych przez grupę jako konta usługi agenta

Agent usługi Azure Pipelines obsługuje teraz konta usług zarządzanych przez grupę na własnych agentach w systemie Windows.

Konta usług zarządzane przez grupę (gSMA) zapewniają scentralizowane zarządzanie hasłami dla kont domeny, które działają jako konta usług. Agent usługi Azure Pipelines może rozpoznać tego typu konto, aby hasło nie było wymagane podczas konfiguracji:

.\config.cmd --url https://dev.azure.com/<Organization> `
             --auth pat --token <PAT> `
             --pool <AgentPool> `
             --agent <AgentName> --replace `
             --runAsService `
             --windowsLogonAccount <DOMAIN>\<gMSA>

Uruchomienia informacyjne

Uruchomienie informacyjne informuje, że usługa Azure DevOps nie może pobrać kodu źródłowego potoku YAML. Taki przebieg wygląda następująco.

Usługa Azure DevOps pobiera kod źródłowy potoku YAML w odpowiedzi na zdarzenia zewnętrzne, na przykład wypychane zatwierdzenie lub w odpowiedzi na wyzwalacze wewnętrzne, na przykład w celu sprawdzenia, czy istnieją zmiany kodu, i uruchom zaplanowane uruchomienie, czy nie. Gdy ten krok zakończy się niepowodzeniem, system utworzy przebieg informacyjny. Te przebiegi są tworzone tylko wtedy, gdy kod potoku znajduje się w repozytorium GitHub lub BitBucket.

Pobieranie kodu YAML potoku może zakończyć się niepowodzeniem z powodu:

• Dostawca repozytorium, u którego wystąpiła awaria
• Ograniczanie żądań
• Problemy z uwierzytelnianiem
• Nie można pobrać zawartości pliku yml potoku

Przeczytaj więcej na temat przebiegów informacyjnych.

Właściwość interfejsu API retentionRules REST definicji kompilacji jest przestarzała

W typie retentionRules odpowiedzi interfejsu BuildDefinitionAPI REST definicji kompilacji właściwość jest teraz oznaczona jako przestarzała, ponieważ ta właściwość zawsze zwraca pusty zestaw.

Następne kroki

Uwaga

Te funkcje będą wdrażane w ciągu najbliższych dwóch do trzech tygodni.

Przejdź do usługi Azure DevOps i spójrz.

Przejdź do usługi Azure DevOps

Jak przekazać opinię

Chcielibyśmy usłyszeć, co myślisz o tych funkcjach. Użyj menu Pomocy, aby zgłosić problem lub podać sugestię.

Możesz również uzyskać porady i pytania, na które odpowiada społeczność w witrynie Stack Overflow.

Dzięki,

Aaron Hallberg