Określanie podejścia do zabezpieczania potoków YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Rozważ wdrożenie podejścia przyrostowego w celu zwiększenia bezpieczeństwa potoków. Chociaż jest to idealne rozwiązanie do zaimplementowania wszystkich wskazówek, które udostępniamy, nie przeciążaj się liczbą zaleceń. Zacznij od wprowadzenia pewnych ulepszeń, nawet jeśli nie możesz natychmiast rozwiązać problemu.
Współzależność zabezpieczeń
Zalecenia dotyczące zabezpieczeń są współzależne. Postawa opiera się na konkretnych zaimplementowanych zaleceniach, które z kolei są zgodne z obawami zespołów devOps i zespołami ds. zabezpieczeń oraz zasadami organizacyjnymi.
Rozważ nadanie priorytetów bezpieczeństwu w krytycznych obszarach, akceptując pewne kompromisy dla wygody w innych aspektach. Jeśli na przykład używasz extends szablonów , aby wymagać uruchamiania wszystkich kompilacji w kontenerach, może nie być potrzebna oddzielna pula agentów dla każdego projektu.
Rozpoczynanie od prawie pustego szablonu
Zacznij od minimalnego szablonu i stopniowo wymuszaj rozszerzenia. Takie podejście zapewnia, że w miarę implementowania praktyk zabezpieczeń masz scentralizowany punkt początkowy obejmujący wszystkie potoki.
Aby uzyskać więcej informacji, zobacz Szablony.
Wyłączanie tworzenia potoków klasycznych
Uwaga
Ta funkcja jest dostępna od wersji 2022.1 usługi Azure DevOps Server.
Wyłącz tworzenie klasycznych potoków kompilacji i wydania, jeśli używasz wyłącznie potoków YAML. Ten środek ostrożności zapobiega problemowi zabezpieczeń wynikającemu z języka YAML i potoków klasycznych współużytkowania tych samych zasobów, takich jak połączenia z usługami.
Niezależnie wyłącz tworzenie klasycznych potoków kompilacji i klasycznych potoków wydania. Jeśli oba te elementy są wyłączone, nie można utworzyć klasycznego potoku kompilacji, klasycznego potoku wydania, grup zadań lub grup wdrożeń za pośrednictwem interfejsu użytkownika lub interfejsu API REST.
Aby wyłączyć tworzenie klasycznych potoków, przejdź do ustawień organizacji lub ustawień projektu, a następnie w sekcji Potoki wybierz pozycję Ustawienia. W sekcji Ogólne włącz opcję Wyłącz tworzenie klasycznych potoków kompilacji i Wyłącz tworzenie klasycznych potoków wydania.
Jeśli włączysz tę funkcję na poziomie organizacji, będzie ona stosowana do wszystkich projektów w tej organizacji. Jeśli jednak pozostawisz ją wyłączoną, możesz selektywnie włączyć ją dla określonych projektów.
Aby zwiększyć bezpieczeństwo nowo utworzonych organizacji, począwszy od przebiegu 226, domyślnie wyłączamy tworzenie klasycznych potoków kompilacji i wydania dla nowych organizacji.