Doporučení pro bezpečnou strukturu projektů v kanálu

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Nad rámec rozsahu jednotlivých prostředků byste měli zvážit také skupiny prostředků. V Azure DevOps jsou prostředky seskupené podle týmových projektů. Je důležité pochopit, ke kterým prostředkům má váš kanál přístup na základě nastavení projektu a omezení.

Každá úloha ve vašem kanálu obdrží přístupový token. Tento token má oprávnění ke čtení otevřených prostředků. V některých případech můžou tyto prostředky aktualizovat také kanály. Jinými slovy, váš uživatelský účet nemusí mít přístup k určitému prostředku, ale skripty a úlohy, které běží ve vašem kanálu, můžou mít přístup k danému prostředku. Model zabezpečení v Azure DevOps také umožňuje přístup k těmto prostředkům z jiných projektů v organizaci. Pokud se rozhodnete vypnout přístup kanálu k některým z těchto prostředků, pak se vaše rozhodnutí vztahuje na všechny kanály v projektu. Konkrétnímu kanálu se nedá udělit přístup k otevřenému prostředku.

Samostatné projekty

Vzhledem k povaze otevřených zdrojů byste měli zvážit správu jednotlivých produktů a týmů v samostatném projektu. Tento postup zajistí, že kanál z jednoho produktu nebude mít přístup k otevřeným prostředkům z jiného produktu. Tímto způsobem zabráníte laterálnímu vystavení. Když projekt sdílí více týmů nebo produktů, nemůžete jejich prostředky od sebe vzájemně izolovat.

Pokud byla vaše organizace Azure DevOps vytvořená před srpnem 2019, můžou mít spuštění přístup k otevřeným prostředkům ve všech projektech vaší organizace. Správce vaší organizace musí zkontrolovat klíčové nastavení zabezpečení v Azure Pipelines, které umožňuje izolaci projektů pro kanály. Toto nastavení najdete vtématu Nastavení> organizace Azure DevOps>Nastavení kanálů>. Nebo přejděte přímo do tohoto umístění Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.

Další kroky

Jakmile nastavíte správnou strukturu projektu, vylepšete zabezpečení modulu runtime pomocí šablon.