決定保護YAML管線的方法
Azure DevOps Services |Azure DevOps Server 2022 |Azure DevOps Server 2020
請考慮採用累加方法來增強管線的安全性。 雖然理想的做法是實作我們提供的所有指引,但不會因為建議數目而不知所措。 從進行一些改進開始,即使您無法立即處理所有專案也一樣。
安全性相互依賴
安全性建議是相互相依的。 您的狀態仰賴您實作的特定建議,進而符合 DevOps 和安全性小組的疑慮和組織原則。
請考慮優先處理重要領域的安全性,同時接受一些取捨以方便在其他方面。 例如,如果您使用 extends 範本 要求所有組建在容器中執行,則您可能不需要 每個專案的個別代理程式集區。
從幾乎空白的範本開始
從最小範本開始,並逐步強制執行延伸模組。 此方法可確保當您實作安全性做法時,會有涵蓋所有管線的集中式起點。
如需詳細資訊,請參閱 範本。
停用傳統管線的建立
注意
此功能可從 Azure DevOps Server 2022.1 開始提供。
如果您只使用 YAML 管線,請停用建立傳統組建和發行管線。 此預防措施可防止YAML和傳統管線共用相同資源的安全性考慮,例如服務連線。
獨立停用傳統組建管線和傳統發行管線的建立。 停用兩者時,無法透過使用者介面或 REST API 建立任何傳統組建管線、傳統發行管線、工作組或部署群組。
若要停用建立傳統管線,請移至您的 [組織設定 ] 或 [項目設定],然後在 [ 管線] 區段底下選取 [設定]。 在 [一般] 區段中,切換 [停用建立傳統組建管線] 和 [停用建立傳統發行管線]。
如果您在組織層級啟用此功能,則會套用至該組織內的所有專案。 不過,如果您將其保留為停用,則可以選擇性地針對特定項目啟用它。
若要改善新建立組織的安全性,從 Sprint 226開始,我們預設會停用為新組織建立傳統組建和發行管線。