Ulepszenia w celu wzmocnienia zabezpieczeń potoków

Dzięki tej aktualizacji wprowadziliśmy ulepszenia w celu wzmocnienia zabezpieczeń w usłudze Azure DevOps. Teraz możesz użyć przypisanej przez system tożsamości zarządzanej podczas tworzenia połączeń usługi Docker Registry dla usługi Azure Container Registry. Ponadto ulepszono zarządzanie dostępem dla pul agentów, aby umożliwić określenie użycia zasobów w potoku YAML. Ponadto ograniczamy token dostępu usługi GitHub dla rozwidlenia publicznych repozytoriów GitHub, aby mieć zakres tylko do odczytu.

Zapoznaj się z informacjami o wersji, aby uzyskać szczegółowe informacje.

Azure Boards

• Kopiuj łącza komentarzy

Azure Pipelines

• Połączenia usługi Container Registry mogą teraz używać tożsamości zarządzanych platformy Azure
• Zdarzenia dziennika inspekcji związane z uprawnieniem potoku
• Upewnij się, że twoja organizacja używa tylko potoków YAML
• Nowy zakres pat wymagany do aktualizacji potoku Ogólne Ustawienia
• Szczegółowe zarządzanie dostępem dla pul agentów
• Zapobieganie udzielaniu dostępu do wszystkich potoków chronionym zasobom
• Ulepszone zabezpieczenia podczas tworzenia żądań ściągnięcia z rozwidlonych repozytoriów GitHub
• Etykieta najnowszej wersji systemu Macos wskaże obraz macos-12
• Etykieta ubuntu-latest wskaże obraz ubuntu-22.04

Azure Boards

Kopiuj łącza komentarzy

Teraz możesz użyć akcji Kopiuj łącze, aby skopiować link do określonego komentarza elementu roboczego. Następnie możesz wkleić ten link do innego komentarza lub opisu elementu roboczego. Po kliknięciu element roboczy zostanie otwarty, a komentarz zostanie wyróżniony.

Ta funkcja została o priorytyzowana na podstawie tego biletu sugestii społeczności.

Uwaga

Ta funkcja będzie dostępna tylko w wersji zapoznawczej usługi New Boards Hubs.

Azure Pipelines

Połączenia usługi Container Registry mogą teraz używać tożsamości zarządzanych platformy Azure

Tożsamość zarządzana przypisana przez system można użyć podczas tworzenia połączeń usługi Docker Registry dla usługi Azure Container Registry. Dzięki temu można uzyskać dostęp do usługi Azure Container Registry przy użyciu tożsamości zarządzanej skojarzonej z własnym agentem usługi Azure Pipelines, eliminując konieczność zarządzania poświadczeniami.

Uwaga

Tożsamość zarządzana używana do uzyskiwania dostępu do usługi Azure Container Registry będzie potrzebować odpowiedniego przypisania kontroli dostępu na podstawie ról (RBAC), np. roli AcrPull lub AcrPush.

Zdarzenia dziennika inspekcji związane z uprawnieniami potoku

Po ograniczeniu uprawnień potoku chronionego zasobu, takiego jak połączenie z usługą, skojarzony dziennik zdarzeń inspekcji teraz prawidłowo stwierdza, że zasób został pomyślnie nieautoryzowany dla jego projektu.

Upewnij się, że twoja organizacja używa tylko potoków YAML

Usługa Azure DevOps umożliwia teraz zapewnienie, że organizacja korzysta tylko z potoków YAML, wyłączając tworzenie klasycznych potoków kompilacji, klasycznych potoków wydania, grup zadań i grup wdrożeń. Istniejące potoki klasyczne będą nadal działać i będzie można je edytować, ale nie będzie można tworzyć nowych.

Możesz wyłączyć tworzenie klasycznych potoków na poziomie organizacji lub na poziomie projektu, włączając odpowiednie przełączanie. Przełączanie można znaleźć w Ustawienia projektu /organizacji —> Potoki —> Ustawienia.

Stan przełączania jest domyślnie wyłączony i musisz mieć uprawnienia administratora, aby zmienić stan. Jeśli przełącznik jest włączony na poziomie organizacji, wyłączenie jest wymuszane dla wszystkich projektów. W przeciwnym razie każdy projekt jest bezpłatny, aby wybrać, czy wymuszać, czy nie wyłączyć.

Wyłączenie tworzenia klasycznych potoków jest wymuszane, interfejsy API REST związane z tworzeniem klasycznych potoków, grup zadań i grup wdrożeń zakończy się niepowodzeniem. Interfejsy API REST, które tworzą potoki YAML, będą działać.

Wyłączenie tworzenia klasycznych potoków jest opt-in dla istniejących organizacji. W przypadku nowych organizacji jest on opt-in na razie.

Nowy zakres pat wymagany do aktualizacji potoku Ogólne Ustawienia

Wywołanie Ustawienia ogólne — aktualizowanie interfejsu API REST wymaga teraz pat z zakresem Project and Team — Read & Write( Projekt i zespół —> odczyt i zapis).

Szczegółowe zarządzanie dostępem dla pul agentów

Pule agentów umożliwiają określanie maszyn, na których działają potoki i zarządzanie nimi.

Wcześniej, jeśli użyto niestandardowej puli agentów, zarządzanie potokami, do których potoków może uzyskiwać dostęp, było gruboziarniste. Możesz zezwolić na korzystanie ze wszystkich potoków lub wymagać, aby każdy potok poprosił o uprawnienie. Niestety po udzieleniu uprawnień dostępu do potoku do puli agentów nie można go odwołać przy użyciu interfejsu użytkownika potoków.

Usługa Azure Pipelines zapewnia teraz szczegółowe zarządzanie dostępem dla pul agentów. Środowisko jest podobne do tego, który służy do zarządzania uprawnieniami potoku dla Połączenie usługi.

Zapobieganie udzielaniu dostępu do wszystkich potoków chronionym zasobom

Podczas tworzenia chronionego zasobu, takiego jak połączenie z usługą lub środowisko, możesz zaznaczyć pole wyboru Udziel uprawnień dostępu do wszystkich potoków . Do tej pory ta opcja została domyślnie zaznaczona.

Chociaż ułatwia to potokom korzystanie z nowych chronionych zasobów, odwrotnie jest to, że faworyzuje przypadkowe przyznanie zbyt wielu potoków prawa dostępu do zasobu.

Aby podwyższyć poziom bezpieczeństwa domyślnie, usługa Azure DevOps pozostawia pole wyboru niezakluczone.

Ulepszone zabezpieczenia podczas tworzenia żądań ściągnięcia z rozwidlonych repozytoriów GitHub

Usługi Azure DevOps można używać do kompilowania i testowania publicznego repozytorium GitHub. Posiadanie publicznego repozytorium GitHub umożliwia współpracę z deweloperami na całym świecie, ale wiąże się z problemami z zabezpieczeniami związanymi z tworzeniem żądań ściągnięcia z rozwidlonych repozytoriów.

Aby uniemożliwić tworzenie rozwidlonych repozytoriów GitHub przed wprowadzeniem niepożądanych zmian w repozytoriach, usługa Azure DevOps ogranicza teraz token dostępu usługi GitHub do zakresu tylko do odczytu.

Etykieta najnowszej wersji systemu Macos wskaże obraz macos-12

Obraz macos-12 Monterey jest gotowy do użycia jako domyślna wersja etykiety "macos-latest" w usłudze Azure Pipelines hostowanych przez firmę Microsoft agentów. Do tej pory etykieta wskazała na agentów big sur-macos-11.

Aby uzyskać pełną listę różnic między systemami macos-12 i macos-11, odwiedź stronę problemu z usługą GitHub. Aby uzyskać pełną listę oprogramowania zainstalowanego na obrazie, sprawdź tutaj.

Etykieta ubuntu-latest wskaże obraz ubuntu-22.04

Obraz ubuntu-22.04 jest gotowy do domyślnej wersji dla najnowszej etykiety ubuntu w usłudze Azure Pipelines agentów hostowanych przez firmę Microsoft. Do tej pory etykieta wskazała na agentów ubuntu-20.04.

Aby uzyskać pełną listę różnic między ubuntu-22.04 i ubuntu-20.04, odwiedź problem z usługą GitHub. Aby uzyskać pełną listę oprogramowania zainstalowanego na obrazie, sprawdź tutaj.

Następne kroki

Uwaga

Te funkcje będą wdrażane w ciągu najbliższych dwóch do trzech tygodni.

Przejdź do usługi Azure DevOps i przyjrzyj się.

Przejdź do usługi Azure DevOps

Jak przekazać opinię

Chcielibyśmy usłyszeć, co myślisz o tych funkcjach. Użyj menu Pomocy, aby zgłosić problem lub podać sugestię.

Możesz również uzyskać porady i odpowiedzi na pytania społeczności w witrynie Stack Overflow.

Dzięki,

Vijay Machiraju