Sdílet prostřednictvím


Plánování zabezpečení kanálů YAML

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

K zabezpečení kanálů doporučujeme použít přírůstkový přístup. V ideálním případě byste implementovali všechny pokyny, které nabízíme. Ale nenechte se dauntovat počtemdoporučeních A neudržujte provádění některých vylepšení, protože teď nemůžete provádět všechny změny.

Doporučení týkající se zabezpečení závisí na sobě

Doporučení zabezpečení mají složité vzájemné závislosti. Stav zabezpečení závisí silně na tom, která doporučení se rozhodnete implementovat. Doporučení, která zvolíte, závisí na obavách vašich týmů devOps a zabezpečení. Závisí také na zásadách a postupech vaší organizace.

Můžete se rozhodnout utáhnout zabezpečení v jedné kritické oblasti a přijmout méně zabezpečení, ale větší pohodlí v jiné oblasti. Pokud například používáte extends šablony, které vyžadují, aby se všechna sestavení spouštěla v kontejnerech, nemusíte pro každý projekt potřebovat samostatný fond agentů.

Začínáme s téměř prázdnou šablonou

Dobrým místem, kde začít, je vynucení rozšíření z téměř prázdné šablony. Když začnete používat postupy zabezpečení, máte centralizované místo, které už zachytává každý kanál.

Další informace najdete v tématu Šablony.

Zakázání vytváření klasických kanálů

Poznámka:

Tato funkce je dostupná od Azure DevOps Serveru 2022.1.

Pokud vyvíjíte pouze kanály YAML, zakažte vytváření klasických kanálů sestavení a verzí. Tím zabráníte obavám zabezpečení, které vyplývají z YAML a klasických kanálů, které sdílejí stejné prostředky, například stejná připojení služeb.

Vytváření klasických kanálů buildu a klasických kanálů verzí můžete zakázat nezávisle na sobě. Když zakážete oba kanály buildu Classic, kanál verze Classic, skupiny úloh a skupiny nasazení, je možné vytvořit pomocí uživatelského rozhraní nebo rozhraní REST API.

Vytváření klasických kanálů můžete zakázat zapnutím dvou přepínačů na úrovni organizace nebo projektu. Pokud je chcete zapnout, přejděte do nastavení organizace nebo projektu a pak v části Kanály zvolte Nastavení. V části Obecné zapněte možnost Zakázat vytváření klasických kanálů buildu a zakázat vytváření kanálů klasických verzí.

Když je zapnete na úrovni organizace, je zapnutá pro všechny projekty v dané organizaci. Pokud je necháte vypnuté, můžete zvolit, pro které projekty je chcete zapnout.

Abychom zlepšili zabezpečení nově vytvořených organizací, od sprintu 226 ve výchozím nastavení zakážeme vytváření klasických kanálů buildů a verzí pro nové organizace.

Další kroky

Po naplánování přístupu k zabezpečení zvažte, jak úložiště poskytují ochranu.