Compartilhar via

Melhorias para fortalecer a segurança das tubulações

  • Artigo

Com essa atualização, estamos incluindo melhorias para fortalecer a segurança no Azure DevOps. Agora você pode usar uma Identidade Gerenciada atribuída pelo sistema ao criar conexões de serviço do Registro do Docker para o Registro de Contêiner do Azure. Além disso, aprimoramos o gerenciamento de acesso para pools de agentes para permitir que você especifique o uso de recursos em um pipeline YAML. Por fim, estamos limitando o token de acesso do GitHub para repositórios públicos bifurcados do GitHub para que tenham escopo somente de leitura.

Confira as notas sobre a versão para obter detalhes.

Quadros do Azure

Azure Pipelines

Quadros do Azure

Agora você pode usar a ação Copiar link para copiar um link para um comentário específico do item de trabalho. Em seguida, você pode colar esse link em outro comentário ou descrição do item de trabalho. Quando clicado, o item de trabalho será aberto e o comentário será realçado.

Gif para o link de comentários de cópia de demonstração.

Esse recurso foi priorizado com base em nesse tíquete de sugestão da comunidade.

Nota

Esse recurso só estará disponível com a versão prévia do New Boards Hubs.

Azure Pipelines

As conexões de serviço do Registro de Contêiner agora podem usar identidades gerenciadas do Azure

Você pode usar uma Identidade Gerenciada atribuída pelo sistema ao criar conexões de serviço do Registro do Docker para o Registro de Contêiner do Azure. Isso permite que você acesse o Registro de Contêiner do Azure usando uma Identidade Gerenciada associada a um agente do Azure Pipelines auto-hospedado, eliminando a necessidade de gerenciar credenciais.

Nova conexão do serviço de registro do Docker para alterações em aprovações

Nota

A identidade gerenciada usada para acessar o Registro de Contêineres do Azure precisará da atribuição apropriada do RBAC (Controle de Acesso Baseado em Função) do Azure, por exemplo, a função AcrPull ou AcrPush.

Quando você restringe as permissões de pipeline de um recurso protegido, como uma conexão de serviço, o log de eventos de auditoria associado agora afirma corretamente que o recurso foi com sucesso não autorizado para o projeto.

Permissões de Pipeline Permissões de pipeline para alterações em aprovações

Verifique se sua organização usa apenas pipelines YAML

O Azure DevOps agora permite garantir que sua organização use apenas pipelines YAML, desabilitando a criação de pipelines de build clássicos, pipelines de lançamento clássicos, grupos de tarefas e grupos de implantação. Seus pipelines clássicos existentes continuarão a funcionar, e você poderá editá-los, mas não poderá criar novos.

Você pode desabilitar a criação de pipelines clássicos no nível da organização ou do projeto, ativando os botões correspondentes. As alternâncias podem ser encontradas em Configurações de Projeto/Organização -> Pipelines -> Configurações.

Desabilitar a criação de build clássico e pipeline clássico para alterações em aprovações

O estado de alternância está desativado por padrão, e você precisará de direitos de administrador para alterar o estado. Se a alternância estiver ativada no nível da organização, a desabilitação será aplicada a todos os projetos. Caso contrário, cada projeto será livre para escolher se deseja impor ou não a desabilitação.

Ao desabilitar a criação de pipelines clássicos, as APIs REST relacionadas à criação de pipelines clássicos, grupos de tarefas e grupos de implantação falharão. As APIs REST que criam pipelines YAML funcionarão.

Desabilitar a criação de pipelines clássicos é opcional para organizações existentes. Para novas organizações, a adesão é opcional por enquanto.

Novo escopo PAT necessário para atualizar as configurações gerais do pipeline

Invocar as Configurações gerais - Atualizar API REST agora requer um PAT com escopo Projeto e equipe -> Leitura & Gravação.

projeto e equipe

Gerenciamento de acesso refinado para pools de agentes

Os pools de agentes permitem que você especifique e gerencie os computadores nos quais os pipelines são executados.

Anteriormente, se você usasse um pool de agentes personalizado, o gerenciamento de quais pipelines podiam acessá-lo era pouco detalhado. Você pode permitir que todos os pipelines o usem ou você pode exigir que cada pipeline solicite permissão. Infelizmente, depois que você concedeu permissão de acesso para um pipeline a um pool de agentes, não foi possível revogá-las usando a interface de usuário dos pipelines.

O Azure Pipelines agora fornece um gerenciamento de acesso refinado para pools de agentes. A experiência é semelhante à do gerenciamento de permissões de pipeline para Conexões de Serviço.

Pool de agentes da FabrikamFiber para alterações nas aprovações

Impedir a concessão de acesso a recursos protegidos a todos os pipelines

Ao criar um recurso protegido, como uma conexão de serviço ou um ambiente, você tem a opção de marcar a caixa de seleção Conceder permissão de acesso a todos os pipelines. Até agora, essa opção era verificada por padrão.

Embora isso torne mais fácil para os pipelines usarem novos recursos protegidos, o inverso é que isso favorece a concessão acidental do direito de acesso a muitos pipelines.

Para promover uma opção segura por padrão, o Azure DevOps agora deixa a caixa de seleção desmarcada.

Nova conexão de serviço genérico para alterações em aprovações

Segurança aprimorada ao criar solicitações de pull de repositórios do GitHub bifurcados

Você pode usar o Azure DevOps para criar e testar seu repositório público do GitHub. Ter um repositório público do GitHub permite que você colabore com desenvolvedores em todo o mundo, mas vem com preocupações de segurança relacionadas à criação de solicitações de pull (PRs) a partir de repositórios bifurcados.

Para evitar que PRs de repositórios bifurcados do GitHub façam alterações indesejadas em seus repositórios, o Azure DevOps agora limita o token de acesso ao GitHub para ter escopo somente leitura.

O rótulo Macos-latest apontará para a imagem macos-12

A imagem macos-12 Monterey está pronta para ser a versão padrão do rótulo “macos-latest” nos agentes hospedados pela Microsoft do Azure Pipelines. Até agora, esse rótulo apontava para agentes do Macos-11 Big Sur.

Para obter uma lista completa das diferenças entre macos-12 e macos-11, visite o problema do GitHub. Para obter uma lista completa do software instalado na imagem, verifique aqui.

O rótulo mais recente do Ubuntu apontará para a imagem ubuntu-22.04

A imagem do ubuntu-22.04 está pronta para ser a versão padrão do rótulo ubuntu-latest nos agentes hospedados pela Microsoft do Azure Pipelines. Até agora, esse rótulo referia-se aos agentes ubuntu-20.04.

Para obter uma lista completa das diferenças entre ubuntu-22.04 e ubuntu-20.04, visite o problema do GitHub . Para obter uma lista completa do software instalado na imagem, verifique aqui.

Próximas etapas

Nota

Esses recursos serão lançados nas próximas duas a três semanas.

Vá até o Azure DevOps e dê uma olhada.

Acesse o Azure DevOps

Como fornecer comentários

Adoraríamos ouvir o que você pensa sobre essas características. Use o menu de ajuda para relatar um problema ou fornecer uma sugestão.

fazer uma sugestão

Você também pode obter conselhos e suas perguntas respondidas pela comunidade no Stack Overflow.

Obrigado

Vijay Machiraju