Compartilhar via

Segurança Avançada do GitHub e o suporte à identidade gerenciada e à entidade de serviço para o Azure DevOps já estão em disponibilidade geral

  • Artigo

Temos o prazer de anunciar que o GitHub Advanced Security e o suporte gerenciado de identidade e entidade de serviço para o Azure DevOps já estão em disponibilidade geral!

No GitHub Advanced Security, também melhoramos a verificação de código para incluir todas as entradas fornecidas pelo usuário na tarefa Inicializar do CodeQL. Além disso, expandimos o suporte ao CodeQL para incluir o Swift.

Em Quadros, estamos lançando as Regras de Automação de Equipe em visualização privada. Agora, você pode configurar cada nível de lista de pendências para automatizar a abertura e o fechamento/resolução de itens de trabalho com base nos estados de seus filhos. Confira as notas de versão se você estiver interessado em se inscrever na visualização privada.

Acesse a lista de recursos abaixo para saber mais sobre esses recursos.

Geral

GitHub Advanced Security para Azure DevOps

Azure Boards

Azure Pipelines

Geral

Suporte de identidade gerenciada e entidade de serviço para Azure DevOps agora em GA (disponibilidade geral)

O suporte para identidades gerenciadas e entidades de serviço do Microsoft Entra ID no Azure DevOps agora atingiu a GA (disponibilidade geral).

Hoje, muitos cenários de integração de aplicativos dependem de PATs (Tokens de Acesso Pessoal) para integração com o Azure DevOps. Embora simples de usar, os PATs podem ser facilmente vazados, potencialmente permitindo que agentes mal-intencionados se autentiquem como usuários poderosos. Para evitar acesso indesejado, os PATs geralmente também exigem manutenção demorada por meio de rotações regulares de credenciais.

Agora você pode habilitar aplicativos para usar Identidades Gerenciadas e Entidades de Serviço para integração com o Azure DevOps por meio de APIs REST e bibliotecas de cliente. Esse recurso altamente solicitado oferece aos clientes do Azure DevOps uma alternativa mais segura aos PATs. As identidades gerenciadas oferecem a capacidade de aplicativos em execução em recursos do Azure obterem tokens do Azure AD sem a necessidade de gerenciar nenhuma credencial.

Identidades gerenciadas e entidades de serviço podem ser configuradas no Azure DevOps e receber permissões para ativos específicos (projetos, repositórios, pipelines), assim como usuários regulares. Isso permite que os aplicativos que usam Identidades Gerenciadas ou Entidades de Serviço se conectem ao Azure DevOps e executem ações em nome de si mesmos, em vez de em nome de um usuário, como o PAT faz. As equipes agora podem gerenciar melhor seus serviços coletivamente, em vez de depender de qualquer indivíduo para fornecer um token para autenticação. Saiba mais sobre o lançamento do GA em nosso anúncio de postagem pública no blog e em nossa documentação de recursos.

Novos escopos do Azure DevOps disponíveis para aplicativos de fluxo delegado OAuth do Microsoft Identity

Adicionamos novos escopos do Azure DevOps para aplicativos OAuth delegados na plataforma Microsoft Identity, também conhecidos coloquialmente como aplicativos OAuth do Microsoft Entra ID. Esses novos escopos permitirão que os desenvolvedores de aplicativos anunciem especificamente quais permissões eles esperam solicitar do usuário para executar as tarefas do aplicativo. Esse recurso altamente solicitado permite que os desenvolvedores de aplicativos solicitem de seus usuários apenas as permissões necessárias para seu aplicativo.

Anteriormente, user_impersonation era o único escopo disponível para os desenvolvedores de aplicativos escolherem. Esse escopo dá ao aplicativo acesso total a todas as APIs do Azure DevOps, o que significa que ele poderá fazer qualquer coisa que o usuário possa fazer em todas as organizações às quais o usuário pertence. Agora, com escopos mais granulares disponíveis, você pode ficar tranquilo, pois os aplicativos só podem solicitar e acessar apenas as APIs que os escopos solicitados concederam permissão para acessar.

Saiba mais sobre esses novos escopos em nosso anúncio de postagem pública no blog e na documentação de recursos.

GitHub Advanced Security para Azure DevOps

Alterações na tarefa e nas variáveis de entrada do usuário do CodeQL (Code Scanning)

Todas as entradas fornecidas pelo usuário agora são especificadas na tarefa Inicializar do CodeQL, que é responsável por configurar o ambiente de análise do CodeQL usado para análise de código com o CodeQL 'AdvancedSecurity-Codeql-Init@1''. Consulte a documentação de configuração de recursos do GitHub Advanced Security para Azure DevOps para obter mais informações sobre como configurar o GitHub Advanced Security para Azure DevOps.

Além disso, as entradas do usuário têm precedência sobre quaisquer valores definidos por variáveis. Por exemplo, se você estabelecer a variável de idioma como advancedsecurity.codeql.language: Java e, posteriormente, durante a fase de inicialização do CodeQL, especifique o idioma como uma entrada com Language: cpp, a entrada cpp substituirá a variável Java do idioma. Certifique-se de que suas entradas estejam configuradas com precisão.

A tarefa de publicação não é mais necessária para configurar a varredura de código

Anteriormente, ao configurar a verificação de código, era necessário incluir a tarefa de publicação (AdvancedSecurity-Publish@1) no pipeline YAML ou no pipeline clássico. Com essa atualização, eliminamos a necessidade da tarefa de publicação e os resultados agora são postados diretamente no serviço de segurança avançada dentro da tarefa de análise (AdvancedSecurity-Codeql-Analyze@1).

Abaixo estão as tarefas necessárias para verificação de código.

Captura de tela das tarefas de varredura de código necessárias.

Para obter mais informações, consulte a documentação de configuração de varredura de código.

CodeQL code scanning agora oferece suporte ao Swift

Estamos expandindo nosso suporte para varredura de código CodeQL para incluir o Swift! Isso significa que os desenvolvedores que trabalham em bibliotecas e aplicativos Swift para plataformas Apple agora podem aproveitar nossa análise de segurança de código de alto nível. Nossos recursos atuais incluem a detecção de problemas como injeção de caminho, buscas arriscadas de visualização na Web, vários usos indevidos de criptografia e outras formas de manuseio ou processamento inseguro de dados de usuário não filtrados.

O Swift agora faz parte de nossa lista de linguagens de programação suportadas, que inclui C/C++, Java/Kotlin, JavaScript/TypeScript, Python, Ruby, C# e Go. Ao todo, essas linguagens nos permitem realizar quase 400 verificações abrangentes em seu código, mantendo uma baixa taxa de falsos positivos e garantindo alta precisão.

Consulte a documentação de configurar recursos do GitHub Advanced Security para Azure DevOps para obter mais informações sobre como configurar o GitHub Advanced Security para Azure DevOps para seus repositórios.

Azure Boards

Regras de Automação de Equipe (versão prévia privada)

Importante

A partir de 09/11/2023, não estamos levando novas organizações para a visualização privada. Tivemos um ótimo feedback com apenas alguns pequenos bugs para resolver. Estamos trabalhando nesses bugs e lançaremos o recurso para todos nos próximos sprints.

Agora você pode configurar cada nível de lista de pendências para automatizar a abertura e o fechamento/resolução de itens de trabalho com base nos estados de seus filhos. Existem dois cenários principais que estamos tentando resolver.

  1. Quando um único item filho é ativado, ative o pai.

  2. Quando todos os itens filho estiverem fechados, feche o pai (ou resolva-o).

Para habilitar essas configurações, clique na configuração de nível de lista de pendências da sua equipe. Em seguida, vá para a guia Regras de Automação > para ver as duas regras diferentes que você pode aplicar à sua lista de pendências. Cada nível de lista de pendências (requisitos, recursos, épicos) pode ser configurado para como sua equipe deseja trabalhar.

Capturas de tela das configurações da equipe.

Por exemplo, quando qualquer tarefa secundária estiver definida como Ativa, ative a história de usuário pai. Em seguida, quando todas as tarefas forem concluídas, defina a história do usuário como Fechada.

Gif para demonstrar as regras de automação da equipe.

Se você estiver interessado em se inscrever na visualização privada, envie-nos um e-mail com o nome da sua organização (dev.azure.com/{nome da organização}). Por favor, entenda que limitaremos o número de organizações na versão prévia. Nossa esperança é fazer com que algumas organizações forneçam feedback e, em seguida, liberem para todos dentro de 2-3 sprints.

Os recursos foram priorizados com base neste tíquete de sugestão da Comunidade de Desenvolvedores.

Observação

Esse recurso só estará disponível com a versão prévia do New Boards Hubs.

Azure Pipelines

Os logs de pipeline agora contêm a utilização de recursos

Os logs de pipeline do Azure agora podem capturar métricas de utilização de recursos, como memória, uso da CPU e espaço em disco disponível. Esses logs também incluem recursos usados pelo agente do pipeline e processos filho, incluindo tarefas executadas em um trabalho.

Captura de tela de logs, incluindo recursos usados pelo pipeline.

Se você suspeitar que seu trabalho de pipeline pode ter restrições de recursos, habilite logs detalhados para que as informações de utilização de recursos sejam injetadas nos logs de pipeline. Isso funciona com qualquer agente, independentemente do modelo de hospedagem.

O agente do Azure Pipelines agora dá suporte ao Alpine Linux

O agente de pipeline v3.227 agora oferece suporte ao Alpine Linux versões 3.13 e superiores. O Alpine Linux é popular para a imagem de contêiner (base). Você pode encontrar o agente na página de versões . As versões do agente do Alpine Linux têm um prefixo vsts-agent-linux-musl , por exemplo, vsts-agent-linux-musl-x64-3.227.1.tar.gz.

Próximas etapas

Observação

Esses recursos serão lançados nas próximas duas a três semanas.

Vá até o Azure DevOps e dê uma olhada.

Ir para o Azure DevOps

Como fornecer comentários

Adoraríamos ouvir o que você pensa sobre esses recursos. Use o menu de ajuda para relatar um problema ou fornecer uma sugestão.

Captura de tela Faça uma sugestão.

Você também pode obter conselhos e suas perguntas respondidas pela comunidade no Stack Overflow.

Obrigada,

Rajesh Ramamurthy