Recommandations pour structurer en toute sécurité les projets dans votre pipeline
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Au-delà de l’échelle des ressources individuelles, vous devez également envisager des groupes de ressources. Dans Azure DevOps, les ressources sont regroupées par projets d’équipe. Il est important de comprendre les ressources auxquelles votre pipeline peut accéder en fonction des paramètres de projet et de l’endiguement.
Chaque travail de votre pipeline reçoit un jeton d’accès. Ce jeton est autorisé à lire les ressources ouvertes. Dans certains cas, les pipelines peuvent également mettre à jour ces ressources. En d’autres termes, votre compte d’utilisateur n’a peut-être pas accès à une certaine ressource, mais les scripts et les tâches qui s’exécutent dans votre pipeline peuvent avoir accès à cette ressource. Le modèle de sécurité dans Azure DevOps permet également d’accéder à ces ressources à partir d’autres projets dans le organization. Si vous choisissez de désactiver l’accès au pipeline à certaines de ces ressources, votre décision s’applique à tous les pipelines d’un projet. Un pipeline spécifique ne peut pas se voir accorder l’accès à une ressource ouverte.
Projets distincts
Étant donné la nature des ressources ouvertes, vous devez envisager de gérer chaque produit et chaque équipe dans un projet distinct. Cette pratique garantit qu’un pipeline d’un produit ne peut pas accéder aux ressources ouvertes d’un autre produit. De cette façon, vous empêchez l’exposition latérale. Lorsque plusieurs équipes ou produits partagent un projet, vous ne pouvez pas isoler de manière granulaire leurs ressources les unes des autres.
Si votre organization Azure DevOps a été créé avant août 2019, les exécutions peuvent être en mesure d’accéder aux ressources ouvertes dans tous les projets de votre organization. Votre administrateur organization doit passer en revue un paramètre de sécurité clé dans Azure Pipelines qui permet l’isolation de projet pour les pipelines. Vous trouverez ce paramètre dansParamètres de l’organisation>Azure DevOps>Paramètres des pipelines>. Ou accédez directement à cet emplacement Azure DevOps : https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Étapes suivantes
Une fois que vous avez configuré la structure de projet appropriée, améliorez la sécurité du runtime à l’aide de modèles.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour