Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
| Neuigkeiten | Entwickler-Community | DevOps-Blog | Dokumentation |
Produkt-Roadmap
Diese Featureliste ist ein Einblick in unsere Roadmap. Es identifiziert einige der wichtigen Features, an denen wir derzeit arbeiten, und einen groben Zeitrahmen für den Zeitpunkt, an dem Sie erwarten können, dass sie zu sehen sind. Es ist nicht umfassend, sondern soll einige Einblicke in wichtige Investitionen bieten. Oben finden Sie eine Liste unserer großen langfristigen Initiativen und der Features, in die sie unterteilt sind. Weiter unten finden Sie die vollständige Liste der wichtigen Features, die wir geplant haben.
Jedes Feature ist mit einem Artikel verknüpft, in dem Sie mehr über ein bestimmtes Element erfahren können. Diese Features und Termine sind die aktuellen Pläne und können geändert werden. Die Spalten "Zeitrahmen" spiegeln wider, wenn wir erwarten, dass das Feature verfügbar ist.
Initiativen
GitHub Advanced Security für Azure DevOps
GitHub Advanced Security für Azure DevOps (GHAzDO) bietet zusätzliche Sicherheitsfeatures für Azure DevOps unter einer zusätzlichen Lizenz. Jeder Projektsammlungsadministrator kann jetzt advanced Security für seine Organisation, Projekte und Repositorys aus den Projekteinstellungen oder Organisationseinstellungen aktivieren.
Die wichtigsten Funktionen von GitHub Advanced Security für Azure DevOps sind:
- Geheimniserkennung: Erkennung und Behebung von Klartext-Geheimnissen in Ihren Git-Repositories. Wenn der Pushschutz aktiviert ist, erkennt und blockiert sie auch geheime Schlüssel, bevor sie an Ihre Repositorys übertragen werden.
- Codescan: Suchen Sie mithilfe von CodeQL oder einem Drittanbietertool nach potenziellen Sicherheitsrisiken und Codierungsfehlern in Ihrem Code.
- Abhängigkeitsscan: Erkennen und Benachrichtigen, wenn Ihr Code von einem Paket abhängt, das unsicher ist und einfache Anleitungen zur Behebung erhält.
Weitere Informationen zum Konfigurieren von GitHub Advanced Security für Azure DevOps finden Sie in unserer Dokumentation.
Zu den bevorstehenden Funktionen, die wir erwarten, gehören:
| Merkmal | Bereich | Quartal |
|---|---|---|
| Ermitteln der Gültigkeit erfasster Partnergeheimnisse | GitHub Advanced Security für Azure DevOps | 2025 2. Quartal |
| Verknüpfen von Boards-Elementen mit erweiterten Sicherheitswarnungen | GitHub Advanced Security für Azure DevOps | 2025 3. Quartal |
| Automatisches Beheben erkannter Schwachstellen im Abhängigkeits-Scan mit Sicherheitsupdates von Dependabot | GitHub Advanced Security für Azure DevOps | Zukünftig |
| CodeQL-Standardsetup (Ein-Klick-Aktivierung) | GitHub Advanced Security für Azure DevOps | Zukünftig |
Minimieren der Risiken im Zusammenhang mit dem Diebstahl von Anmeldeinformationen
Azure DevOps unterstützt viele verschiedene Authentifizierungsmechanismen, einschließlich Standardauthentifizierung, persönliche Zugriffstoken (PATs), SSH und Microsoft Entra ID (früher Azure Active Directory) Zugriffstoken. Diese Mechanismen werden nicht gleichermaßen aus Sicherheitsperspektive geschaffen, insbesondere wenn es um das Potenzial des Diebstahls von Anmeldeinformationen geht. Beispielsweise können unbeabsichtigte Lecks von Anmeldeinformationen wie PATs böswilligen Akteuren Zugang zu Azure DevOps-Organisationen verschaffen, in denen sie Zugriff auf kritische Ressourcen wie Quellcode erhalten, sich auf Lieferkettenangriffe ausrichten oder sogar die Produktionsinfrastruktur kompromittieren können. Um die Risiken des Diebstahls von Anmeldeinformationen zu minimieren, konzentrieren wir uns auf unsere Bemühungen in den kommenden Quartalen in den folgenden Bereichen:
Ermöglichen Sie Administratoren die Verbesserung der Authentifizierungssicherheit durch Steuerungsebenenrichtlinien.
Verringern Sie die Notwendigkeit von PATs und anderen gestohlenen Geheimnissen, indem Sie Unterstützung für sicherere Alternativen hinzufügen.
Vertiefung der Integration von Azure DevOps mit Microsoft Entra ID, um die verschiedenen Sicherheitsfeatures besser zu unterstützen.
Vermeiden Sie die Notwendigkeit, geheime Produktionsschlüssel in Azure Pipelines-Dienstverbindungen zu speichern.
Verbesserte Boards + GitHub-Integration
Die vorhandene Azure Boards + GitHub-Integration ist seit mehreren Jahren vorhanden. Die Integration ist ein guter Ausgangspunkt, bietet aber nicht das Maß an Rückverfolgbarkeit, an das sich unsere Kunden gewöhnt haben. Basierend auf Kundenfeedback haben wir eine Reihe von Investitionen zusammengestellt, um diese Integration zu verbessern. Unser Ziel ist es, dies zu verbessern, damit Azure Boards-Kunden, die GitHub-Repositorys verwenden, ein gleichwertiges Maß an Rückverfolgbarkeit für Repositorys in Azure DevOps verwalten können.
Zu diesen Investitionen gehören:
Migrieren zu verwalteten DevOps-Pools
Verwaltete DevOps-Pools sind eine Weiterentwicklung von Azure DevOps Virtual Machine Scale Set-Agentpools. Es bietet eine bessere Poolskalierbarkeit und Zuverlässigkeit, vereinfacht die Poolverwaltung und ermöglicht es Ihnen, die VM-Images von von Microsoft gehosteten Agents auf benutzerdefinierten Azure-VMs zu verwenden. Weitere Informationen zu verwalteten DevOps-Pools finden Sie hier. Verwaltete DevOps-Pools sind allgemein verfügbar, sodass Sie Ihre virtuellen Maschinen-Skalierungsgruppen zu verwalteten DevOps-Pools migrieren und diese nach Möglichkeit für Produktionsworkflows verwenden können.
Im Folgenden finden Sie mehrere Investitionen, die wir als Teil dieser Initiative bereitstellen möchten:
| Merkmal | Bereich | Quartal |
|---|---|---|
| Poolerstellung auf Azure DevOps-Projektebene mithilfe von Berechtigungen auf Projektebene | Rohrleitungen | 2025 2. Quartal |
| Spot Virtual Machines-Instanz | Rohrleitungen | 2025 2. Quartal |
| Hinzufügen vertrauenswürdiger Stammzertifikate | Rohrleitungen | 2025 2. Quartal |
| Containerbasierte Agents | Rohrleitungen | 2025 4. Quartal |
YAML und Release-Pipelines sind gleichwertig
Seit einigen Jahren sind alle unsere Pipelineinvestitionen im Bereich der YAML-Pipelines. Darüber hinaus wurden alle unsere Sicherheitsverbesserungen für YAML-Pipelines vorgenommen. Beispielsweise liegt die Kontrolle über geschützte Ressourcen (z. B. Repositorys, Dienstverbindungen usw.) bei YAML-Pipelines in den Händen der Ressourcenbesitzer im Gegensatz zu Pipelineautoren. Die Auftragszugriffstoken , die in YAML-Pipelines verwendet werden, sind auf bestimmte Repositorys begrenzt, die in der YAML-Datei angegeben sind. Dies sind nur zwei Beispiele für Sicherheitsfeatures, die für YAML-Pipelines verfügbar sind. Aus diesen Gründen empfehlen wir die Verwendung von YAML-Pipelines über klassische. Die Einführung von YAML im Vergleich zu Classic hat sich für Builds (CI) als sehr wichtig erwiesen. Viele Kunden verwenden jedoch weiterhin klassische Veröffentlichungsmanagement-Pipelines statt YAML für Releases (CD). Der Hauptgrund dafür ist der Mangel an Parität in verschiedenen CD-Features zwischen den beiden Lösungen. Im vergangenen Jahr haben wir mehrere Lücken in diesem Bereich behoben, insbesondere in den Kontrollen. Prüfungen sind der wichtigste Mechanismus in YAML-Pipelines, um die Beförderung eines Builds von einer Stufe zur nächsten zu verhindern. Im nächsten Jahr werden wir weiterhin Lücken in anderen Bereichen behandeln. Unser Fokus liegt auf Benutzeroberflächen, Rückverfolgbarkeit und Umgebungen.
| Merkmal | Bereich | Quartal |
|---|---|---|
| Auditierung für Kontrollen | Rohrleitungen |
2022 Q4 |
| Benutzerdefinierte Variablen in Überprüfungen | Rohrleitungen |
2023 Q1 |
| Überprüft die Skalierbarkeit | Rohrleitungen |
2023 Q2 |
| Umgehen von Genehmigungen und Prüfungen | Rohrleitungen |
2023 Q4 |
| Sequenzierungsgenehmigungen und andere Prüfungen | Rohrleitungen |
2024 Q1 |
| Verzögerte Genehmigungen | Rohrleitungen |
2024 Q1 |
| Einzelne Stufe erneut ausführen | Rohrleitungen |
2024 Q1 |
| Manuelle Reihenfolge von Phasen | Rohrleitungen |
2024 H2 |
| Stufenweise Gleichzeitigkeit | Rohrleitungen |
2024 Q3 |
| Rückverfolgbarkeit auf Phasenebene | Rohrleitungen | 2025 2. Quartal |
| On-Demand-Ausführung von Phasen außerhalb der Reihenfolge | Rohrleitungen | 2025 2. Quartal |
| Dienstverbindungen in Prüfungen | Rohrleitungen | Zukünftig |
| Überprüft die Erweiterbarkeit | Rohrleitungen | Zukünftig |
Verbesserungen bei Azure Test Plans
Azure DevOps bietet eine Vielzahl von Tools und Integrationen zur Unterstützung verschiedener Anforderungen an das Testen. Dazu gehören manuelle Tests, automatisierte Tests und Erkundungstests. Die Plattform lässt die Erstellung und Verwaltung von Testplänen und Testsuiten zu, mit denen manuelle Tests für Sprints oder Meilensteine verfolgt werden können. Außerdem lässt sich Azure DevOps in CI/CD Pipelines integrieren und ermöglicht so die automatisierte Testausführung und das Reporting.
Wir erhöhen unsere Investitionen in diesem Bereich als Reaktion auf das Feedback unserer aktivsten Kundengruppe. Wir konzentrieren uns auf die folgenden Aspekte des Testmanagements: Verbesserung der End-to-End-Nachvollziehbarkeit von Tests; Erweiterung der Unterstützung für verschiedene Programmiersprachen und Frameworks für automatisierte Tests in Testplänen; Neugestaltung von Workflows und Erfahrungen für das Konsumieren von Testläufen und Testergebnissen.
Im Folgenden finden Sie mehrere Investitionen, die wir als Element dieser Initiative planen:
Alle Features
Azure DevOps Services
Azure DevOps Server
Senden von Feedback
Wir würden uns freuen zu hören, was Sie zu diesen Features halten. Melden Sie alle Probleme, oder schlagen Sie ein Feature über Entwicklercommunity vor.
Sie können auch Ratschläge und Ihre Fragen von der Community in Stack Overflow beantworten lassen.