Egyéb biztonsági szempontok
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
A folyamatok biztonságossá tételekor érdemes megfontolni néhány egyéb szempontot is.
A PATH-ra támaszkodik
Az ügynök PATH beállítására támaszkodni veszélyes.
Lehet, hogy nem arra mutat, ahol ön szerint igen, mivel egy korábbi szkript vagy eszköz esetleg módosította azt.
A biztonsági szempontból kritikus szkriptek és bináris fájlok esetében mindig használja a program teljes elérési útját.
Titkos kódok naplózása
Az Azure Pipelines lehetőség szerint megpróbálja megtisztítani a titkos kódokat a naplókból. Ez a szűrés a legjobb erőfeszítésen alapul, és nem képes minden olyan módon elfogni, hogy a titkos kódok kiszivároghatnak. Kerülje a titkos kódok konzolon való visszhangzását, parancssori paraméterekben való használatát vagy fájlokba való naplózását.
Tárolók zárolása
A tárolók néhány rendszer által biztosított kötetcsatlakoztatási leképezéssel rendelkeznek a feladatokban, a munkaterületen és a gazdaügynökkel való kommunikációhoz szükséges külső összetevőkben. Ezeket a köteteket írásvédettként jelölheti meg.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
A legtöbb embernek csak olvashatóként kell megjelölnie az első háromat, és írásvédettként kell hagynia work .
Ha tudja, hogy nem fog írni a munkakönyvtárba egy adott feladatban vagy lépésben, folytassa, és írásvédetté is tegye work .
Ha a folyamatban vannak olyan feladatok, amelyek önmódosítást hajtanak végre, előfordulhat, hogy írási-olvasási módban kell hagynia tasks .
Az elérhető tevékenységek szabályozása
Letilthatja a feladatok marketplace-ről történő telepítését és futtatását. Így nagyobb mértékben szabályozhatja a folyamatban végrehajtott kódot. Az összes beépített feladatot is letilthatja (a Kivétel kivételével, amely az ügynök speciális művelete). Javasoljuk, hogy a legtöbb esetben ne tiltsa le a beépített feladatokat.
A szolgáltatással tfx közvetlenül telepített feladatok mindig elérhetők.
Ha mindkét funkció engedélyezve van, csak ezek a feladatok érhetők el.
A naplózási szolgáltatás használata
A naplózási szolgáltatás számos folyamateseményt rögzít.
Rendszeresen tekintse át az auditnaplót, és győződjön meg arról, hogy nem csúsztak át rosszindulatú módosítások.
Látogasson el https://dev.azure.com/ORG-NAME/_settings/audit az első lépésekhez.
Következő lépések
Térjen vissza az áttekintéshez , és győződjön meg arról, hogy minden cikket tárgyalt.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: