Compartir vía

Otras consideraciones de seguridad

  • Artículo

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Hay unas cuantas cosas adicionales que debe tener en cuenta al proteger las canalizaciones.

Confianza en PATH

Confiar en la configuración de PATH del agente es peligroso. Es posible que no apunte a dónde cree que lo hace, ya que un script o herramienta anterior podría haberla modificado. Con scripts y archivos binarios críticos para la seguridad, use siempre una ruta de acceso completa al programa.

Registro de secretos

Siempre que sea posible, Azure Pipelines intenta borrar los secretos de los registros. Este filtrado se realiza de la mejor manera posible y no puede detectar todas las formas de filtración de los secretos. Evite reproducir secretos en la consola, usarlos en parámetros de la línea de comandos o registrarlos en archivos.

Bloqueo de contenedores

Los contenedores tienen algunos montajes de volumen proporcionados por el sistema que se asignan a las tareas, al espacio de trabajo y a los componentes externos necesarios para comunicarse con el agente host. Puede marcar algunos de estos volúmenes de solo lectura o todos ellos.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

La mayoría de las personas deben marcar los tres primeros como de solo lectura y dejar work como de lectura y escritura. Si sabe que no va a escribir en el directorio de trabajo en un determinado trabajo o paso, siga adelante y convierta work como de solo lectura también. Si tiene tareas en la canalización, que se modifican automáticamente, es posible que tenga que dejar tasks como de lectura y escritura.

Control de las tareas disponibles

Puede deshabilitar la capacidad de instalar y ejecutar tareas desde Marketplace. Esto le permitirá tener un mayor control sobre el código que se ejecuta en una canalización. También puede deshabilitar todas las tareas incorporadas (excepto Extraer del repositorio, que es una acción especial del agente). En la mayorías de los casos, se recomienda no deshabilitar las tareas incorporadas.

Las tareas instaladas directamente con tfx siempre están disponibles. Con ambas características habilitadas, solo están disponibles esas tareas.

Uso del servicio de auditoría

Muchos eventos de canalización se registran en el servicio de auditoría. Revise periódicamente el registro de auditoría para asegurarse de que no ningún cambio malintencionado pudo burlar la seguridad. Para comenzar, visite https://dev.azure.com/ORG-NAME/_settings/audit.

Pasos siguientes

Vuelva a la información general y asegúrese de que ha tratado todos los artículos.