Определение подхода к защите конвейеров YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Рассмотрите возможность применения добавочного подхода к повышению безопасности конвейеров. Хотя это идеально подходит для реализации всех рекомендаций, которые мы предоставляем, не перегружены количеством рекомендаций. Начните с некоторых улучшений, даже если вы не можете сразу решить все.
Взаимозависимость безопасности
Рекомендации по безопасности являются взаимозависимыми. Ваше состояние зависит от конкретных рекомендаций, которые вы реализуете, в свою очередь, в соответствии с проблемами DevOps и группами безопасности и политиками организации.
Рассмотрите возможность приоритета безопасности в критически важных областях при принятии некоторых компромиссов для удобства в других аспектах. Например, если вы используете шаблоны для выполнения extends всех сборок в контейнерах, возможно, вам не потребуется отдельный пул агентов для каждого проекта.
Начало с почти пустого шаблона
Начните с минимального шаблона и постепенно применяйте расширения. Этот подход гарантирует, что при реализации методик безопасности у вас есть централизованная отправная точка, которая охватывает все конвейеры.
Дополнительные сведения см. в статье Шаблоны.
Отключение создания классических конвейеров
Примечание.
Эта функция доступна начиная с Azure DevOps Server 2022.1.
Отключите создание классических конвейеров сборки и выпуска, если вы используете исключительно конвейеры YAML. Эта мера предосторожности предотвращает проблему безопасности, связанную с YAML и классическими конвейерами, совместно используя те же ресурсы, такие как подключения к службам.
Независимо отключать создание классических конвейеров сборки и классических конвейеров выпуска. При отключении классического конвейера сборки, классического конвейера выпуска, групп задач или групп развертывания можно создавать с помощью пользовательского интерфейса или REST API.
Чтобы отключить создание классических конвейеров, перейдите к параметрам организации или параметрам проекта, а затем в разделе "Конвейеры " выберите "Параметры". В разделе "Общие" переключение на создание классических конвейеров сборки и отключение создания классических конвейеров выпуска.
Если включить эту функцию на уровне организации, она применяется ко всем проектам в этой организации. Однако если вы оставьте его отключенным, вы можете выборочно включить его для конкретных проектов.
Чтобы повысить безопасность вновь созданных организаций, начиная с Sprint 226, по умолчанию мы отключаем создание классических конвейеров сборки и выпуска для новых организаций.