Azure Pipelines REST API 安全性改进

通过此更新，我们改进了经典生成管道的 Azure Pipelines REST API 安全性。 现在， 生成作业授权范围 默认为 Project，而不是 Project 集合。

有关详细信息，请查看发行说明。

Azure Pipelines

• 管道 REST API 安全性改进
• 使用代理 URL 进行 GitHub Enterprise 集成
• 计划的生成改进
• 汇报为“运行阶段状态已更改”服务挂钩事件
• 经典生成管道中访问令牌的默认范围的更改
• Azure Pipelines 对圣地亚哥 ServiceNow 版本的支持
• 宣布停用 Windows 2016 映像
• 宣布弃用 macOS 10.15 Catalina 映像 (更新)

Azure Artifacts

• 更新了默认源权限

Azure Pipelines

Azure Pipelines 对圣地亚哥 ServiceNow 版本的支持

Azure Pipelines 已与 ServiceNow 集成。 集成依赖于 ServiceNow 中的应用和 Azure DevOps 中的扩展。 现在，我们已更新应用以使用 San Diego 版本的 ServiceNow。 若要确保此集成正常工作，请从 ServiceNow 存储升级到应用 (4.205.2) 的新版本。

有关详细信息，请参阅 与 ServiceNow 更改管理集成文档。

管道 REST API 安全性改进

Azure DevOps 中的大多数 REST API 使用作用域内的 PAT 令牌。 但是，其中一些需要完全范围的 PAT 令牌。 换句话说，必须通过选择“完全访问权限”来创建 PAT 令牌，才能使用其中一些 API。 此类令牌会带来安全风险，因为它们可用于调用任何 REST API。 我们在整个 Azure DevOps 中进行了改进，通过将每个 REST API 合并到特定范围，消除了对完全限定范围的令牌的需求。 作为这项工作的一部分， 用于更新资源的管道权限的 REST API 现在需要特定的范围。 范围取决于授权使用的资源类型：

• Code (read, write, and manage) 对于 类型的资源 repository
• Agent Pools (read, manage) 或 Environment (read, manage) ，用于类型 queue 为 和 的资源 agentpool
• Secure Files (read, create, and manage) 对于 类型的资源 securefile
• Variable Groups (read, create and manage) 对于 类型的资源 variablegroup
• Service Endpoints (read, query and manage) 对于 类型的资源 endpoint
• Environment (read, manage) 对于 类型的资源 environment

若要批量编辑管道权限，仍需要完全范围的 PAT 令牌。 若要详细了解如何更新资源的管道权限，请参阅 管道权限 - 更新资源的管道权限 文档。

使用代理 URL 进行 GitHub Enterprise 集成

Azure Pipelines 与本地 GitHub Enterprise Server 集成，以运行持续集成和 PR 生成。 在某些情况下，GitHub Enterprise Server 位于防火墙后面，需要通过代理服务器路由流量。 为了支持此方案，Azure DevOps 中的 GitHub Enterprise Server 服务连接允许配置代理 URL。 以前，并非所有来自 Azure DevOps 的流量都通过此代理 URL 进行路由。 通过此更新，我们将确保从 Azure Pipelines 路由以下流量以通过代理 URL：

• 获取分支
• 获取拉取请求信息
• 报表生成状态

计划的生成改进

我们修复了导致管道计划信息损坏且管道无法加载的问题。 例如，当分支的名称超过一定数量的字符时，会发生这种情况。

宣布停用 Windows 2016 映像

Azure Pipelines 于 7 月 31 日从托管池中删除 Windows 2016 映像 (vs2017-win2016) 。 若要详细了解如何使用弃用的映像（包括 Windows 2016）识别管道，检查博客文章“托管管道映像弃用”。

宣布弃用 macOS 10.15 Catalina 映像 (更新)

Azure Pipelines 正在弃用托管池上的 macOS 10.15 Catalina 映像 (macOS-1015) 。 此映像将于 9 月 30 日停用。 你可能会开始看到更长的队列时间。

为了帮助你更好地识别哪些管道正在使用 macOS-1015 映像，我们正在规划淡出。 作业将在停电期间失败。

• 使用 macOS-1015 图像在管道运行上显示警告消息
• 脚本可用于帮助你使用已弃用的映像（包括 macOS-1015）查找管道
• 我们正在安排简短的“棕褐色”。 任何 macOS-1015 运行都将在停电期间失败。 因此，建议在停电前迁移管道。

更新) (计划

• 10 月 7 日 10：00 UTC - 10 月 7 日 16：00 UTC
• 10 月 14 日 12：00 UTC - 10 月 14 日 18：00 UTC
• 10 月 21 日 14：00 UTC - 10 月 21 日 20：00 UTC
• 10 月 28 日 16：00 UTC - 10 月 28 日 22：00 UTC
• 11 月 4 日 22：00 UTC - 11 月 5 日 04：00 UTC
• 11 月 11 日 04：00 UTC - 11 月 11 日 10：00 UTC
• 11 月 18 日 06：00 UTC - 11 月 18 日 12：00 UTC
• 11 月 25 日 08：00 UTC - 11 月 25 日 14：00 UTC

汇报为“运行阶段状态已更改”服务挂钩事件

当 Azure DevOps 中的项目中发生事件时，服务挂钩允许在其他服务上运行任务， 运行阶段状态已更改 就是这些事件之一。 “运行阶段状态更改”事件必须包含有关运行的信息，包括管道名称和整个运行的状态。 以前，它仅包含有关运行 ID 和名称的信息。 在此更新中，我们对事件进行了更改，以包含缺失的信息。

经典生成管道中访问令牌的默认范围的更改

为了提高经典生成管道的安全性，在创建新管道时， 默认情况下，生成作业授权范围 将为 Project。 到目前为止，它以前是 项目集合。 详细了解 作业访问令牌。 此更改不会影响任何现有管道。 它只会影响从此创建的新经典生成管道。

Azure Artifacts

更新了默认源权限

在创建新的组织范围的 Azure Artifacts 源时，Project Collection 生成服务帐户现在默认具有 “协作者” 角色，而不是当前的 “参与者” 角色。

后续步骤

注意

这些功能将在未来两到三周内推出。

前往 Azure DevOps 并查看。

转到 Azure DevOps

如何提供反馈

我们很想听听你对这些功能的看法。 使用帮助菜单报告问题或提供建议。

你还可以在 Stack Overflow 上获得社区的建议和问题的答案。

此致

Vijay Machiraju