Partilhar via

Determine sua abordagem para proteger pipelines YAML

  • Artigo

Serviços de DevOps do Azure | Azure DevOps Server 2022 | Azure DevOps Server 2020

Considere a adoção de uma abordagem incremental para melhorar a segurança de seus pipelines. Embora seja ideal implementar todas as orientações que fornecemos, não fique sobrecarregado com o número de recomendações. Comece por fazer algumas melhorias, mesmo que não consiga resolver tudo imediatamente.

Interdependência da segurança

As recomendações de segurança são interdependentes. Sua postura depende das recomendações específicas que você implementa, que, por sua vez, se alinham com as preocupações e políticas organizacionais de suas equipes de DevOps e segurança.

Considere priorizar a segurança em áreas críticas, aceitando algumas compensações por conveniência em outros aspetos. Por exemplo, se você usar extends modelos para exigir que todas as compilações sejam executadas em contêineres, talvez não precise de um pool de agentes separado para cada projeto.

Comece com um modelo quase vazio

Comece com um modelo mínimo e, gradualmente, aplique extensões. Essa abordagem garante que, ao implementar práticas de segurança, você tenha um ponto de partida centralizado que abranja todos os pipelines.

Para obter mais informações, veja Templates (Modelos).

Desativar a criação de pipelines clássicos

Nota

Esse recurso está disponível a partir do Azure DevOps Server 2022.1.

Desative a criação de pipelines clássicos de compilação e liberação se você usar exclusivamente pipelines YAML. Essa precaução evita um problema de segurança decorrente do YAML e pipelines clássicos que compartilham os mesmos recursos, como conexões de serviço.

Desative de forma independente a criação de pipelines de compilação clássicos e pipelines de liberação clássicos. Quando ambos estão desabilitados, nenhum pipeline de compilação clássico, pipeline de liberação clássico, grupos de tarefas ou grupos de implantação podem ser criados por meio da interface do usuário ou da API REST.

Para desativar a criação de pipelines clássicos, vá para as configurações da organização ou do projeto e, na seção Pipelines, selecione Configurações. Na seção Geral, ative Desabilitar a criação de pipelines de compilação clássicos e Desabilitar a criação de pipelines de versão clássicos.

Se você habilitar esse recurso no nível da organização, ele se aplicará a todos os projetos dentro dessa organização. No entanto, se você deixá-lo desativado, você pode ativá-lo seletivamente para projetos específicos.

Para melhorar a segurança de organizações recém-criadas, começando com o Sprint 226, por padrão, desativamos a criação de pipelines clássicos de compilação e lançamento para novas organizações.

Próximos passos

Proteger repositórios