Sdílet prostřednictvím


Další aspekty zabezpečení

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Existuje několik dalších věcí, které byste měli při zabezpečení kanálů zvážit.

Spoléhat se na PATH

Spoléhat se na nastavení agenta PATH je nebezpečné. Nemusí odkazovat na to, co si myslíte, protože předchozí skript nebo nástroj by ho mohl změnit. Pro skripty a binární soubory důležité pro zabezpečení vždy používejte plně kvalifikovanou cestu k programu.

Protokolování tajných kódů

Azure Pipelines se snaží vymýt tajné kódy z protokolů, kdykoli je to možné. Toto filtrování je na základě maximálního úsilí a nemůže zachytit všechny způsoby úniku tajných kódů. Vyhněte se opakování tajných kódů v konzole, jejich používání v parametrech příkazového řádku nebo jejich protokolování do souborů.

Uzamčení kontejnerů

Kontejnery mají několik systémových mapování připojení svazků v úlohách, pracovním prostoru a externích komponentách potřebných ke komunikaci s agentem hostitele. Některé nebo všechny tyto svazky můžete označit jen pro čtení.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

Většina lidí by měla označit první tři položky jen pro čtení a nechat work je jako pro čtení i zápis. Pokud víte, že nebudete zapisovat do pracovního adresáře v dané úloze nebo kroku, pokračujte tím, že work nastavíte jen pro čtení. Pokud máte v kanálu úkoly, které se samy upravují, možná budete muset nechat tasks čtení i zápis.

Řízení dostupných úkolů

Můžete zakázat možnost instalovat a spouštět úlohy z Marketplace. To vám umožní větší kontrolu nad kódem, který se spouští v kanálu. Můžete také zakázat všechny úkoly v balení (s výjimkou rezervace, což je speciální akce agenta). Za většiny okolností doporučujeme nezakazovat úkoly v balení.

Úlohy přímo nainstalované v nástroji tfx jsou vždy k dispozici. Pokud jsou obě tyto funkce povolené, jsou k dispozici jenom tyto úlohy.

Použití služby auditování

Mnoho událostí kanálu je zaznamenáno ve službě auditování. Pravidelně kontrolujte protokol auditu a ujistěte se, že se neprosadily žádné škodlivé změny. Začněte tím, že navštívíte https://dev.azure.com/ORG-NAME/_settings/audit stránku.

Další kroky

Vraťte se k přehledu a ujistěte se, že jste probrali každý článek.