Empfehlungen zum sicheren Strukturieren von Projekten in Ihrer Pipeline
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Über die Größe einzelner Ressourcen hinaus sollten Sie auch Ressourcengruppen berücksichtigen. In Azure DevOps werden Ressourcen nach Teamprojekten gruppiert. Es ist wichtig zu verstehen, auf welche Ressourcen Ihre Pipeline basierend auf Den Projekteinstellungen und der Kapselung zugreifen kann.
Jeder Auftrag in Ihrer Pipeline erhält ein Zugriffstoken. Dieses Token verfügt über Berechtigungen zum Lesen geöffneter Ressourcen. In einigen Fällen können Pipelines diese Ressourcen auch aktualisieren. Anders ausgedrückt: Ihr Benutzerkonto hat möglicherweise keinen Zugriff auf eine bestimmte Ressource, aber Skripts und Aufgaben, die in Ihrer Pipeline ausgeführt werden, haben möglicherweise Zugriff auf diese Ressource. Das Sicherheitsmodell in Azure DevOps ermöglicht auch den Zugriff auf diese Ressourcen von anderen Projekten in der Organisation aus. Wenn Sie den Pipelinezugriff auf einige dieser Ressourcen beenden möchten, gilt Ihre Entscheidung für alle Pipelines in einem Projekt. Einer bestimmten Pipeline kann kein Zugriff auf eine geöffnete Ressource gewährt werden.
Separate Projekte
Angesichts der Art der offenen Ressourcen sollten Sie erwägen, jedes Produkt und jedes Team in einem separaten Projekt zu verwalten. Diese Vorgehensweise stellt sicher, dass eine Pipeline aus einem Produkt nicht auf offene Ressourcen aus einem anderen Produkt zugreifen kann. Auf diese Weise verhindern Sie laterale Exposition. Wenn mehrere Teams oder Produkte ein Projekt gemeinsam nutzen, können Sie ihre Ressourcen nicht präzise voneinander isolieren.
Wenn Ihr Azure DevOps-organization vor August 2019 erstellt wurde, können Ausführungen möglicherweise auf offene Ressourcen in allen Projekten Ihrer organization zugreifen. Ihr organization Administrator muss eine wichtige Sicherheitseinstellung in Azure Pipelines überprüfen, die die Projektisolation für Pipelines ermöglicht. Sie finden diese Einstellung unter Azure DevOps-Organisationseinstellungen>>Pipelines-Einstellungen>. Oder navigieren Sie direkt zu diesem Azure DevOps-Speicherort: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Nächste Schritte
Nachdem Sie die richtige Projektstruktur eingerichtet haben, erhöhen Sie die Laufzeitsicherheit mithilfe von Vorlagen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für