Fastställa din metod för att skydda YAML-pipelines
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Överväg att använda en inkrementell metod för att förbättra säkerheten för dina pipelines. Även om det är idealiskt att implementera all vägledning vi ger, blir du inte överväldigad av antalet rekommendationer. Börja med att göra vissa förbättringar, även om du inte kan åtgärda allt direkt.
Säkerhetsinterdependence
Säkerhetsrekommendationer är beroende av varandra. Din hållning förlitar sig på de specifika rekommendationer som du implementerar, som i sin tur överensstämmer med dina DevOps- och säkerhetsteams problem och organisationsprinciper.
Överväg att prioritera säkerhet inom kritiska områden samtidigt som du accepterar vissa kompromisser för enkelhetens skull i andra aspekter. Om du till exempel använder extends mallar för att kräva att alla versioner körs i containrar kanske du inte behöver en separat agentpool för varje projekt.
Börja med en nästan tom mall
Börja med en minimal mall och framtvinga tillägg gradvis. Den här metoden säkerställer att när du implementerar säkerhetsrutiner har du en centraliserad startpunkt som omfattar alla pipelines.
Mer information finns i Mallar.
Inaktivera skapandet av klassiska pipelines
Kommentar
Den här funktionen är tillgänglig från och med Azure DevOps Server 2022.1.
Inaktivera skapandet av klassiska bygg- och versionspipelines om du uteslutande använder YAML-pipelines. Den här försiktighetsåtgärden förhindrar ett säkerhetsproblem som uppstår vid YAML och klassiska pipelines som delar samma resurser, till exempel tjänstanslutningar.
Inaktivera skapandet av klassiska byggpipelines och klassiska versionspipelines oberoende av varandra. När båda är inaktiverade kan ingen klassisk bygg-pipeline, klassisk versionspipeline, aktivitetsgrupper eller distributionsgrupper skapas via användargränssnittet eller REST-API:et.
Om du vill inaktivera skapandet av klassiska pipelines går du till organisationens inställningar eller projektinställningar och under avsnittet Pipelines väljer du Inställningar. I avsnittet Allmänt växlar du till Inaktivera skapande av klassiska byggpipelines och Inaktivera skapande av klassiska versionspipelines.
Om du aktiverar den här funktionen på organisationsnivå gäller den för alla projekt inom organisationen. Men om du lämnar den inaktiverad kan du selektivt aktivera den för specifika projekt.
För att förbättra säkerheten för nyligen skapade organisationer, från och med Sprint 226, inaktiverar vi som standard skapandet av klassiska bygg- och versionspipelines för nya organisationer.