Otras consideraciones de seguridad
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Hay unas cuantas cosas adicionales que debe tener en cuenta al proteger las canalizaciones.
Confianza en PATH
Confiar en la configuración de PATH del agente es peligroso.
Es posible que no apunte a dónde cree que lo hace, ya que un script o herramienta anterior podría haberla modificado.
Con scripts y archivos binarios críticos para la seguridad, use siempre una ruta de acceso completa al programa.
Registro de secretos
Siempre que sea posible, Azure Pipelines intenta borrar los secretos de los registros. Este filtrado se realiza de la mejor manera posible y no puede detectar todas las formas de filtración de los secretos. Evite reproducir secretos en la consola, usarlos en parámetros de la línea de comandos o registrarlos en archivos.
Bloqueo de contenedores
Los contenedores tienen algunos montajes de volumen proporcionados por el sistema que se asignan a las tareas, al espacio de trabajo y a los componentes externos necesarios para comunicarse con el agente host. Puede marcar algunos de estos volúmenes de solo lectura o todos ellos.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
La mayoría de las personas deben marcar los tres primeros como de solo lectura y dejar work como de lectura y escritura.
Si sabe que no va a escribir en el directorio de trabajo en un determinado trabajo o paso, siga adelante y convierta work como de solo lectura también.
Si tiene tareas en la canalización, que se modifican automáticamente, es posible que tenga que dejar tasks como de lectura y escritura.
Control de las tareas disponibles
Puede deshabilitar la capacidad de instalar y ejecutar tareas desde Marketplace. Esto le permitirá tener un mayor control sobre el código que se ejecuta en una canalización. También puede deshabilitar todas las tareas incorporadas (excepto Extraer del repositorio, que es una acción especial del agente). En la mayorías de los casos, se recomienda no deshabilitar las tareas incorporadas.
Las tareas instaladas directamente con tfx siempre están disponibles.
Con ambas características habilitadas, solo están disponibles esas tareas.
Uso del servicio de auditoría
Muchos eventos de canalización se registran en el servicio de auditoría.
Revise periódicamente el registro de auditoría para asegurarse de que no ningún cambio malintencionado pudo burlar la seguridad.
Para comenzar, visite https://dev.azure.com/ORG-NAME/_settings/audit.
Pasos siguientes
Vuelva a la información general y asegúrese de que ha tratado todos los artículos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de