Recomendaciones para estructurar proyectos de manera segura en la canalización
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Además de la escala de recursos individuales, también debe tener en cuenta los grupos de recursos. En Azure DevOps, los recursos se agrupan por proyectos de equipo. Es importante comprender a qué recursos puede acceder la canalización en función de la configuración y la contención del proyecto.
Cada trabajo de la canalización recibe un token de acceso. Este token tiene permisos para leer los recursos abiertos. En algunos casos, las canalizaciones también pueden actualizar esos recursos. Es decir, es posible que la cuenta de usuario no tenga acceso a un recurso determinado, pero es posible que los scripts y las tareas que se ejecutan en la canalización tengan acceso a ese recurso. El modelo de seguridad de Azure DevOps también permite el acceso a estos recursos desde otros proyectos de la organización. Si decide apagar el acceso de canalización a algunos de estos recursos, la decisión se aplica a todas las canalizaciones de un proyecto. No se puede conceder acceso a una canalización específica a un recurso abierto.
Proyectos independientes
Dada la naturaleza de los recursos abiertos, debe considerar la posibilidad de administrar cada producto y equipo en un proyecto independiente. Esta práctica garantiza que una canalización de un producto no pueda acceder a los recursos abiertos desde otro producto. De esta manera, se evita la exposición lateral. Cuando varios equipos o productos comparten un proyecto, no se pueden aislar de forma pormenorizada sus recursos.
Si la organización de Azure DevOps se creó antes de agosto de 2019, es posible que las ejecuciones puedan acceder a los recursos abiertos en todos los proyectos de la organización. El administrador de la organización debe revisar una configuración de seguridad clave en Azure Pipelines que permita el aislamiento del proyecto para canalizaciones. Puede encontrar esta configuración en Azure DevOps>Configuración de la organización>Pipelines>Configuración. O vaya directamente a esta ubicación de Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Pasos siguientes
Después de configurar la estructura correcta del proyecto, mejore la seguridad en tiempo de ejecución mediante plantillas.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de