Další aspekty zabezpečení
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Existuje několik dalších věcí, které byste měli při zabezpečení kanálů zvážit.
Spoléhat se na PATH
Spoléhat se na nastavení agenta PATH je nebezpečné.
Nemusí odkazovat na to, co si myslíte, protože předchozí skript nebo nástroj by ho mohl změnit.
Pro skripty a binární soubory důležité pro zabezpečení vždy používejte plně kvalifikovanou cestu k programu.
Protokolování tajných kódů
Azure Pipelines se snaží vymýt tajné kódy z protokolů, kdykoli je to možné. Toto filtrování je na základě maximálního úsilí a nemůže zachytit všechny způsoby úniku tajných kódů. Vyhněte se opakování tajných kódů v konzole, jejich používání v parametrech příkazového řádku nebo jejich protokolování do souborů.
Uzamčení kontejnerů
Kontejnery mají několik systémových mapování připojení svazků v úlohách, pracovním prostoru a externích komponentách potřebných ke komunikaci s agentem hostitele. Některé nebo všechny tyto svazky můžete označit jen pro čtení.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
Většina lidí by měla označit první tři položky jen pro čtení a nechat work je jako pro čtení i zápis.
Pokud víte, že nebudete zapisovat do pracovního adresáře v dané úloze nebo kroku, pokračujte tím, že work nastavíte jen pro čtení.
Pokud máte v kanálu úkoly, které se samy upravují, možná budete muset nechat tasks čtení i zápis.
Řízení dostupných úkolů
Můžete zakázat možnost instalovat a spouštět úlohy z Marketplace. To vám umožní větší kontrolu nad kódem, který se spouští v kanálu. Můžete také zakázat všechny úkoly v balení (s výjimkou rezervace, což je speciální akce agenta). Za většiny okolností doporučujeme nezakazovat úkoly v balení.
Úlohy přímo nainstalované v nástroji tfx jsou vždy k dispozici.
Pokud jsou obě tyto funkce povolené, jsou k dispozici jenom tyto úlohy.
Použití služby auditování
Mnoho událostí kanálu je zaznamenáno ve službě auditování.
Pravidelně kontrolujte protokol auditu a ujistěte se, že se neprosadily žádné škodlivé změny.
Začněte tím, že navštívíte https://dev.azure.com/ORG-NAME/_settings/audit stránku.
Další kroky
Vraťte se k přehledu a ujistěte se, že jste probrali každý článek.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro