Compartir a través de


Planeamiento de cómo proteger las canalizaciones de YAML

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Se recomienda usar un enfoque incremental para proteger las canalizaciones. Idealmente, implementaría toda la guía que ofrecemos. Pero no se deje intimidar por el número de recomendaciones. Y no deje de hacer algunas mejoras solo porque no pueda realizar todos los cambios en este momento.

Las recomendaciones de seguridad dependen unas de otras.

Las recomendaciones de seguridad tienen interdependencias complejas. La posición de seguridad depende en gran medida de las recomendaciones que decida implementar. A su vez, las recomendaciones que elija dependen de los problemas de los equipos de DevOps y de seguridad. También dependen de las directivas y prácticas de su organización.

Puede optar por reforzar la seguridad en un área crítica y aceptar menos seguridad pero más comodidad en otra. Por ejemplo, si usa plantillas extends para exigir que todas las compilaciones se ejecuten en contenedores, es posible que no necesite un grupo de agentes distinto para cada proyecto.

Comenzar con una plantilla casi vacía

Un buen lugar para empezar es aplicar la extensión desde una plantilla casi vacía. De este modo, a medida que empiece a aplicar prácticas de seguridad, tendrá un lugar centralizado que ya detecta todas las canalizaciones.

Para obtener más información, consulte Plantillas.

Deshabilitación de la creación de canalizaciones clásicas

Nota:

Esta característica está disponible a partir de Azure DevOps Server 2022.1.

Si solo desarrolla canalizaciones YAML, deshabilite la creación de canalizaciones de compilación y versión clásicas. Al hacerlo, se evita un problema de seguridad que se deriva de las canalizaciones YAML y clásicas que comparten los mismos recursos, por ejemplo, las mismas conexiones de servicio.

Puede deshabilitar la creación de canalizaciones de compilación clásicas y canalizaciones de versión clásicas de forma independiente. Al deshabilitar ambos, no se puede crear ninguna canalización de compilación clásica, canalización de versión clásica, grupos de tareas e grupos de implementación mediante la interfaz de usuario o la API REST.

Puede deshabilitar la creación de canalizaciones clásicas activando dos alternancias en el nivel de organización o en el nivel de proyecto. Para activarlos, vaya a la configuración de organización o proyectoy, a continuación, en la sección de Canalizaciones elija Configuración. En la sección General, active Deshabilitar la creación de canalizaciones de compilación clásicas y Deshabilitar la creación de canalizaciones de versión clásicas.

Al activarlos en el nivel de organización, está activado para todos los proyectos de esa organización. Si los deja desactivados, puede elegir para qué proyectos desea activarlos.

Para mejorar la seguridad de las organizaciones recién creadas, a partir de Sprint 226, de forma predeterminada deshabilitaremos la creación de canalizaciones de versión y compilación clásicas para las nuevas organizaciones.

Pasos siguientes

Después de planear el enfoque de seguridad, considere cómo los repositorios proporcionan protección.