Ulepszenia zabezpieczeń interfejsu API REST usługi Azure Pipelines

Dzięki tej aktualizacji ulepszyliśmy zabezpieczenia interfejsu API REST usługi Azure Pipelines dla klasycznych potoków kompilacji. Teraz zakres autoryzacji zadania kompilacjibędzie domyślnie zamiast kolekcji projektów.

Aby uzyskać szczegółowe informacje, zapoznaj się z informacjami o wersji.

Azure Pipelines

• Ulepszenia zabezpieczeń interfejsu API REST potoków
• Używanie adresów URL serwera proxy na potrzeby integracji z usługą GitHub Enterprise
• Ulepszenia zaplanowanych kompilacji
• Aktualizacje do zdarzenia punktów zaczepienia usługi "Stan etapu przebiegu został zmieniony"
• Zmiana domyślnego zakresu tokenów dostępu w klasycznych potokach kompilacji
• Obsługa usługi Azure Pipelines dla wersji usługi ServiceNow w usłudze San Diego
• Ogłoszenie wycofania obrazu systemu Windows 2016
• Ogłoszenie wycofania obrazów z systemem macOS 10.15 Catalina (zaktualizowano)

Azure Artifacts

• Zaktualizowano domyślne uprawnienia kanału informacyjnego

Azure Pipelines

Obsługa usługi Azure Pipelines dla wersji usługi ServiceNow w usłudze San Diego

Usługa Azure Pipelines ma istniejącą integrację z usługą ServiceNow. Integracja opiera się na aplikacji w usłudze ServiceNow i rozszerzeniu w usłudze Azure DevOps. Zaktualizowaliśmy teraz aplikację do pracy z wersją usługi ServiceNow w San Diego. Aby upewnić się, że ta integracja działa, przeprowadź uaktualnienie do nowej wersji aplikacji (4.205.2) ze sklepu ServiceNow.

Aby uzyskać więcej informacji, zobacz dokumentację Integrowanie z usługą ServiceNow Change Management.

Ulepszenia zabezpieczeń interfejsu API REST potoków

Większość interfejsów API REST w usłudze Azure DevOps używa tokenów pat o określonym zakresie. Jednak niektóre z nich wymagają w pełni zakres tokenów PAT. Innymi słowy, należy utworzyć token pat, wybierając pozycję "Pełny dostęp", aby użyć niektórych z tych interfejsów API. Takie tokeny stanowią zagrożenie bezpieczeństwa, ponieważ mogą służyć do wywoływania dowolnego interfejsu API REST. Wprowadziliśmy ulepszenia w usłudze Azure DevOps, aby usunąć potrzebę w pełni określonych tokenów, dołączając każdy interfejs API REST do określonego zakresu. W ramach tego nakładu pracy interfejs API REST do aktualizowania uprawnień potoku dla zasobu wymaga teraz określonego zakresu. Zakres zależy od typu zasobu autoryzowanego do użycia:

• Code (read, write, and manage) dla zasobów typu repository
• Agent Pools (read, manage) lub Environment (read, manage) dla zasobów typu queue i agentpool
• Secure Files (read, create, and manage) dla zasobów typu securefile
• Variable Groups (read, create and manage) dla zasobów typu variablegroup
• Service Endpoints (read, query and manage) dla zasobów typu endpoint
• Environment (read, manage) dla zasobów typu environment

Aby zbiorczo edytować uprawnienia potoków, nadal będziesz potrzebować w pełni ograniczonego tokenu PAT. Aby dowiedzieć się więcej na temat aktualizowania uprawnień potoku dla zasobów, zobacz dokumentację Uprawnienia potoku — aktualizowanie uprawnień potoku dla zasobów .

Używanie adresów URL serwera proxy na potrzeby integracji z usługą GitHub Enterprise

Usługa Azure Pipelines integruje się z lokalnymi serwerami GitHub Enterprise Server w celu uruchamiania ciągłej integracji i kompilacji żądania ściągnięcia. W niektórych przypadkach serwer GitHub Enterprise Server znajduje się za zaporą i wymaga kierowania ruchu przez serwer proxy. Aby obsłużyć ten scenariusz, połączenia usługi GitHub Enterprise Server w usłudze Azure DevOps umożliwiają skonfigurowanie adresu URL serwera proxy. Wcześniej nie cały ruch z usługi Azure DevOps był kierowany przez ten adres URL serwera proxy. Dzięki tej aktualizacji upewniamy się, że kierujemy następujący ruch z usługi Azure Pipelines, aby przejść przez adres URL serwera proxy:

• Pobieranie gałęzi
• Pobieranie informacji o żądaniu ściągnięcia
• Stan kompilacji raportu

Ulepszenia zaplanowanych kompilacji

Rozwiązaliśmy problem powodujący uszkodzenie informacji o harmonogramie potoku, a potok nie został załadowany. Było to spowodowane na przykład wtedy, gdy nazwa gałęzi przekroczyła określoną liczbę znaków.

Ogłoszenie wycofania obrazu systemu Windows 2016

Usługa Azure Pipelines usuwa obraz systemu Windows 2016 (vs2017-win2016) z naszych hostowanych pul w dniu 31 lipca. Aby dowiedzieć się więcej na temat identyfikowania potoków przy użyciu przestarzałych obrazów, w tym systemu Windows 2016, zapoznaj się z naszym wpisem w blogu Hosted Pipelines Image Deprecation (Wycofanie obrazu hostowanego potoku).

Ogłoszenie wycofania obrazów z systemem macOS 10.15 Catalina (zaktualizowano)

Usługa Azure Pipelines oznacza przestarzałe obrazy systemu macOS 10.15 Catalina (macOS-1015) w naszych hostowanych pulach. Ten obraz zostanie wycofany 30 września. Możesz zacząć widzieć dłuższy czas kolejki.

Aby lepiej określić, które potoki korzystają z obrazu systemu macOS-1015, planujemy brownouts. Zadania kończą się niepowodzeniem w okresie brownout.

• Komunikaty ostrzegawcze są wyświetlane w uruchomieniach potoku przy użyciu obrazu systemu macOS-1015
• Skrypt jest dostępny, aby ułatwić znajdowanie potoków przy użyciu przestarzałych obrazów, w tym macOS-1015
• Planujemy krótkie "brownouts". Każde uruchomienie systemu macOS-1015 zakończy się niepowodzeniem w okresie brownout. W związku z tym zaleca się przeprowadzenie migracji potoków przed brownouts.

Harmonogram brownout (zaktualizowany)

• 7 października 10:00 UTC — 7 października 16:00 UTC
• 14 października 12:00 UTC — 14 października 18:00 UTC
• 21 października 14:00 UTC — 21 października 20:00 UTC
• 28 października 16:00 UTC — 28 października 22:00 UTC
• 4 listopada 22:00 UTC — 5 listopada 04:00 UTC
• 11 listopada 04:00 UTC — 11 listopada, 10:00 UTC
• 18 listopada 06:00 UTC — 18 listopada, 12:00 UTC
• 25 listopada 08:00 UTC — 25 listopada, 14:00 UTC

Aktualizacje do zdarzenia punktów zaczepienia usługi "Stan etapu przebiegu został zmieniony"

Punkty zaczepienia usługi umożliwiają uruchamianie zadań w innych usługach, gdy zdarzenia występują w projekcie w usłudze Azure DevOps, stan etapu uruchamiania zmienia się jako jeden z tych zdarzeń. Zdarzenie Zmiany stanu etapu uruchomienia musi zawierać informacje o przebiegu, w tym nazwę potoku i stan ogólnego uruchomienia. Wcześniej zawierał tylko informacje o identyfikatorze i nazwie przebiegu. Dzięki tej aktualizacji wprowadziliśmy zmiany w zdarzeniu, aby uwzględnić brakujące informacje.

Zmiana domyślnego zakresu tokenów dostępu w klasycznych potokach kompilacji

Aby zwiększyć bezpieczeństwo klasycznych potoków kompilacji, podczas tworzenia nowego zakresu autoryzacji zadania kompilacji będzie domyślnie projekt. Do tej pory była to kolekcja projektów. Przeczytaj więcej na temat tokenów dostępu do zadań. Ta zmiana nie ma wpływu na żadne z istniejących potoków. Ma to wpływ tylko na nowe klasyczne potoki kompilacji tworzone od tego momentu.

Azure Artifacts

Zaktualizowano domyślne uprawnienia kanału informacyjnego

Konta usługi Kompilacja kolekcji projektów będą teraz domyślnie miały rolę Współpracownik , gdy zostanie utworzony nowy kanał informacyjny usługi Azure Artifacts o zakresie organizacji zamiast bieżącej roli Współautor .

Następne kroki

Uwaga

Te funkcje zostaną wdrożone w ciągu najbliższych dwóch do trzech tygodni.

Przejdź do usługi Azure DevOps i przyjrzyj się.

Przejdź do usługi Azure DevOps

Jak przekazać opinię

Chcielibyśmy usłyszeć, co myślisz o tych funkcjach. Użyj menu Pomocy, aby zgłosić problem lub podać sugestię.

Możesz również uzyskać porady i pytania, na które odpowiada społeczność w witrynie Stack Overflow.

Dzięki,

Vijay Machiraju