Förbättringar för att stärka säkerheten för pipelines

Med den här uppdateringen inkluderar vi förbättringar för att stärka säkerheten i Azure DevOps. Nu kan du använda en systemtilldelad hanterad identitet när du skapar Docker Registry-tjänstanslutningar för Azure Container Registry. Dessutom har vi förbättrat åtkomsthanteringen för agentpooler så att du kan ange användningen av resurser i en YAML-pipeline. Slutligen begränsar vi GitHub-åtkomsttoken för förgrenade offentliga GitHub-lagringsplatser till att ha skrivskyddat omfång.

Mer information finns i viktig information.

Azure-tavlor

• Kopiera kommentarslänkar

Azure-pipelines

• Container Registry-tjänstanslutningar kan nu använda Azure Managed Identities
• Granskningslogghändelser relaterade till pipelinebehörighet
• Se till att din organisation endast använder YAML-pipelines
• Nytt PAT-omfång som krävs för att uppdatera pipelinen Allmänt Inställningar
• Detaljerad åtkomsthantering för agentpooler
• Förhindra att alla pipelines får åtkomst till skyddade resurser
• Förbättrad säkerhet vid skapande av pull-begäranden från förgrenade GitHub-lagringsplatser
• Den senaste Macos-etiketten pekar på macos-12-avbildning
• Ubuntu-senaste etiketten pekar på ubuntu-22.04-avbildning

Azure-tavlor

Kopiera kommentarslänkar

Du kan nu använda åtgärden Kopiera länk för att kopiera en länk till en specifik arbetsobjektkommentare. Du kan sedan klistra in länken i en annan arbetsobjektkommentering eller beskrivning. När du klickar på öppnas arbetsobjektet och kommentaren är markerad.

Den här funktionen har prioriterats baserat på det här communityförslagsärendet.

Kommentar

Den här funktionen är endast tillgänglig med förhandsversionen av New Boards Hubs.

Azure-pipelines

Container Registry-tjänstanslutningar kan nu använda Azure Managed Identities

Du kan använda en systemtilldelad hanterad identitet när du skapar Docker Registry-tjänstanslutningar för Azure Container Registry. På så sätt kan du komma åt Azure Container Registry med hjälp av en hanterad identitet som är associerad med en lokalt installerad Azure Pipelines-agent, vilket eliminerar behovet av att hantera autentiseringsuppgifter.

Kommentar

Den hanterade identitet som används för åtkomst till Azure Container Registry behöver lämplig RBAC-tilldelning (Azure Role Based Access Control), t.ex. AcrPull- eller AcrPush-roll.

Granskningslogghändelser relaterade till pipelinebehörigheter

När du begränsar pipelinebehörigheter för en skyddad resurs, till exempel en tjänstanslutning, anger den associerade granskningshändelseloggen nu korrekt att resursen har obehörig för projektet.

Se till att din organisation endast använder YAML-pipelines

Med Azure DevOps kan du nu se till att din organisation endast använder YAML-pipelines genom att inaktivera skapandet av klassiska byggpipelines, klassiska versionspipelines, aktivitetsgrupper och distributionsgrupper. Dina befintliga klassiska pipelines fortsätter att köras och du kommer att kunna redigera dem, men du kommer inte att kunna skapa nya.

Du kan inaktivera skapandet av klassiska pipelines på organisations- eller projektnivå genom att aktivera motsvarande växlingsknappar. Växlingsknapparna finns i Project/Organization Inställningar –> Pipelines –> Inställningar.

Växlingstillståndet är inaktiverat som standard och du behöver administratörsbehörighet för att ändra tillståndet. Om växlingsknappen är aktiverad på organisationsnivå tillämpas inaktivering för alla projekt. Annars kan varje projekt välja om de ska framtvinga eller inte inaktiveras.

När du inaktiverar skapandet av klassiska pipelines kommer REST-API:er som är relaterade till att skapa klassiska pipelines, aktivitetsgrupper och distributionsgrupper att misslyckas. REST-API:er som skapar YAML-pipelines fungerar.

Att inaktivera skapandet av klassiska pipelines är att anmäla sig för befintliga organisationer. För nya organisationer är det opt-in för tillfället.

Nytt PAT-omfång som krävs för att uppdatera pipelinen Allmänt Inställningar

För att anropa Den allmänna Inställningar – Uppdatera REST-API:et krävs nu en PAT med omfångsprojektet och teamet –> Läs och skriv.

Detaljerad åtkomsthantering för agentpooler

Med agentpooler kan du ange och hantera de datorer som dina pipelines körs på.

Om du tidigare använde en anpassad agentpool var hanteringen av vilka pipelines som kan komma åt den grovkornig. Du kan tillåta att alla pipelines använder den, eller så kan du kräva att varje pipeline ber om behörighet. När du har beviljat en pipelineåtkomstbehörighet till en agentpool kunde du tyvärr inte återkalla den med hjälp av pipelinegränssnittet.

Azure Pipelines tillhandahåller nu en detaljerad åtkomsthantering för agentpooler. Upplevelsen liknar den för hantering av pipelinebehörigheter för Service Anslut ions.

Förhindra att alla pipelines får åtkomst till skyddade resurser

När du skapar en skyddad resurs, till exempel en tjänstanslutning eller en miljö, kan du välja kryssrutan Bevilja åtkomstbehörighet till alla pipelines . Hittills har det här alternativet markerats som standard.

Detta gör det enklare för pipelines att använda nya skyddade resurser, men det omvända är att den av misstag ger för många pipelines rätt att komma åt resursen.

Om du vill höja upp ett säkert som standardval lämnar Azure DevOps nu kryssrutan avmarkerad.

Förbättrad säkerhet vid skapande av pull-begäranden från förgrenade GitHub-lagringsplatser

Du kan använda Azure DevOps för att skapa och testa din offentliga GitHub-lagringsplats. Med en offentlig GitHub-lagringsplats kan du samarbeta med utvecklare över hela världen, men kommer med säkerhetsproblem som rör att skapa pull-begäranden (PR) från förgrenade lagringsplatser.

För att förhindra att PR:er förgrenar GitHub-lagringsplatser från att göra oönskade ändringar i dina lagringsplatser begränsar Azure DevOps nu GitHub-åtkomsttoken till att ha skrivskyddat omfång.

Den senaste Macos-etiketten pekar på macos-12-avbildning

Monterey-avbildningen macos-12 är redo att vara standardversion för etiketten "macos-latest" i Microsoft-värdbaserade Agenter i Azure Pipelines. Hittills har denna etikett pekat på macos-11 Big Sur agenter.

En fullständig lista över skillnader mellan macos-12 och macos-11 finns i GitHub-problemet. En fullständig lista över programvara som är installerad på avbildningen finns här.

Ubuntu-senaste etiketten pekar på ubuntu-22.04-avbildning

Ubuntu-22.04-avbildningen är redo att vara standardversion för den senaste etiketten ubuntu i Microsoft-värdbaserade Agenter i Azure Pipelines. Hittills har den här etiketten pekat på ubuntu-20.04-agenter.

En fullständig lista över skillnader mellan ubuntu-22.04 och ubuntu-20.04 finns i GitHub-problemet. En fullständig lista över programvara som är installerad på avbildningen finns här.

Nästa steg

Kommentar

Dessa funktioner kommer att distribueras under de kommande två till tre veckorna.

Gå över till Azure DevOps och ta en titt.

Gå till Azure DevOps

Så här ger du feedback

Vi vill gärna höra vad du tycker om de här funktionerna. Använd hjälpmenyn för att rapportera ett problem eller ge ett förslag.

Du kan också få råd och dina frågor som besvaras av communityn på Stack Overflow.

Tack,

Vijay Machiraju