Dela via

Förbättringar för att stärka säkerheten för rörledningar

  • Artikel

Med den här uppdateringen inkluderar vi förbättringar för att stärka säkerheten i Azure DevOps. Nu kan du använda en systemtilldelad hanterad identitet när du skapar Docker Registry-tjänstanslutningar för Azure Container Registry. Dessutom har vi förbättrat åtkomsthanteringen för agentpooler så att du kan ange användningen av resurser i en YAML-pipeline. Slutligen begränsar vi GitHub-åtkomsttoken för förgrenade offentliga GitHub-lagringsplatser till att ha skrivskyddat omfång.

Mer information finns i versionsinformation.

Azure Boards

Azure Pipelines

Azure Boards

Du kan nu använda åtgärden Kopiera länk för att kopiera en länk till en specifik arbetsobjektkommentare. Du kan sedan klistra in länken i en annan arbetsobjektkommentering eller beskrivning. När du klickar på öppnas arbetsobjektet och kommentaren är markerad.

Gif för att demonstrera kopiering av kommentarslänk.

Den här funktionen har prioriterats baserat på detta communityförslagsärende.

Not

Den här funktionen är endast tillgänglig med New Boards Hubs förhandsversion.

Azure Pipelines

Container Registry-tjänstanslutningar kan nu använda Azure Managed Identities

Du kan använda en systemtilldelad hanterad identitet när du skapar Docker Registry-tjänstanslutningar för Azure Container Registry. På så sätt kan du komma åt Azure Container Registry med hjälp av en hanterad identitet som är associerad med en lokalt installerad Azure Pipelines-agent, vilket eliminerar behovet av att hantera autentiseringsuppgifter.

ny Docker Registry Service-anslutning för ändringar i godkännanden

Notera

Den hanterade identitet som används för åtkomst till Azure Container Registry behöver lämplig RBAC-tilldelning (Azure Role Based Access Control), t.ex. AcrPull- eller AcrPush-roll.

När du begränsar pipelinebehörigheter för en skyddad resurs, till exempel en tjänstanslutning, anger den associerade granskningshändelseloggen nu korrekt att resursen obehöriga för projektet.

Pipeline-tillstånd för ändringar av godkännanden

Se till att din organisation endast använder YAML-pipelines

Med Azure DevOps kan du nu se till att din organisation endast använder YAML-pipelines genom att inaktivera skapandet av klassiska byggpipelines, klassiska versionspipelines, aktivitetsgrupper och distributionsgrupper. Dina befintliga klassiska pipelines fortsätter att köras och du kommer att kunna redigera dem, men du kommer inte att kunna skapa nya.

Du kan inaktivera skapandet av klassiska pipelines på organisations- eller projektnivå genom att aktivera motsvarande växlingsknappar. Reglagen finns i Projekt/Organisationsinställningar –> Pipelines –> Inställningar.

Inaktivera skapande av klassisk build och klassisk pipeline vid ändringar av godkännanden

Växlingstillståndet är inaktiverat som standard och du behöver administratörsbehörighet för att ändra tillståndet. Om växlingsknappen är aktiverad på organisationsnivå tillämpas inaktivering för alla projekt. Annars är varje projekt fritt att välja om det ska påtvinga inaktiveringen eller inte.

När du inaktiverar skapandet av klassiska pipelines kommer REST-API:er som är relaterade till att skapa klassiska pipelines, aktivitetsgrupper och distributionsgrupper att misslyckas. REST-API:er som skapar YAML-pipelines fungerar.

Att inaktivera skapandet av klassiska pipelines är ett val som befintliga organisationer kan göra. För nya organisationer är det valbart för tillfället.

Nytt PAT-omfång som krävs för att uppdatera allmänna inställningar för pipeline

För att anropa Generella inställningar – Uppdatera REST API krävs nu en PAT med omfånget Projekt och Team –> Läs & Skriv.

Projekt och Team

Detaljerad åtkomsthantering för agentpooler

Med agentpooler kan du ange och hantera de datorer som dina pipelines körs på.

Om du tidigare använde en anpassad agentpool var hanteringen av vilka pipelines som kan komma åt den grovkornig. Du kan tillåta att alla pipelines använder den, eller så kan du kräva att varje pipeline ber om behörighet. När du har beviljat en pipelineåtkomstbehörighet till en agentpool kunde du tyvärr inte återkalla den med hjälp av pipelinegränssnittet.

Azure Pipelines tillhandahåller nu en detaljerad åtkomsthantering för agentpooler. Upplevelsen liknar den för hantering av pipelinebehörigheter för tjänstanslutningar.

FabrikamFiber-agentpool för ändringar i godkännanden

Förhindra att alla pipelines får åtkomst till skyddade resurser

När du skapar en skyddad resurs, till exempel en tjänstanslutning eller en miljö, kan du välja kryssrutan Bevilja åtkomstbehörighet till alla pipelines. Hittills har det här alternativet markerats som standard.

Detta underlättar för pipelines att använda nya skyddade resurser, men å andra sidan kan det leda till att för många pipelines av misstag får rätt att få åtkomst till resursen.

För att främja ett säkert standardval lämnar Azure DevOps nu kryssrutan avmarkerad.

ny allmän tjänstanslutning för ändringar i godkännanden

Förbättrad säkerhet vid skapande av pull-begäranden från förgrenade GitHub-lagringsplatser

Du kan använda Azure DevOps för att skapa och testa din offentliga GitHub-lagringsplats. Med en offentlig GitHub-lagringsplats kan du samarbeta med utvecklare över hela världen, men det finns säkerhetsproblem vid skapande av pull-begäranden (PR) från förgrenade lagringsplatser.

För att förhindra att PR:er från förgreningar av GitHub-lagringsplatser gör oönskade ändringar i dina egna lagringsplatser, begränsar Azure DevOps nu GitHub-åtkomsttoken till att vara skrivskyddad.

Den senaste Macos-etiketten pekar på macos-12-avbildning

Monterey-avbildningen macos-12 är redo att vara standardversionen för taggen "macos-latest" i Microsoft-värdbaserade agenter i Azure Pipelines. Hittills har denna etikett pekat på macos-11 Big Sur-agenten.

En fullständig lista över skillnader mellan macos-12 och macos-11 finns i GitHub-problemet. En fullständig lista över programvara som är installerad på avbildningen finns i här.

Ubuntu-senaste etikett pekar på ubuntu-22.04-avbild

Ubuntu-22.04-avbildningen är redo att vara standardversionen för den ubuntu-senaste-etiketten i Microsoft-värdbaserade Agenter i Azure Pipelines. Hittills har den här etiketten pekat på ubuntu-20.04-agenter.

En fullständig lista över skillnader mellan ubuntu-22.04 och ubuntu-20.04 finns i GitHub-problemet. En fullständig lista över programvara som är installerad på bilden finns under här.

Nästa steg

Anteckning

Dessa funktioner kommer att distribueras under de kommande två till tre veckorna.

Gå över till Azure DevOps och ta en titt.

Gå till Azure DevOps

Så här ger du feedback

Vi vill gärna höra vad du tycker om de här funktionerna. Använd hjälpmenyn för att rapportera ett problem eller ge ett förslag.

Ge ett förslag

Du kan också få råd och dina frågor som besvaras av communityn på Stack Overflow.

Tack

Vijay Machiraju