Függőségvizsgálati riasztások elvetése az Advanced Securityben

Az Advanced Security függőségvizsgálata észleli a forráskódban használt nyílt forráskód összetevőket, és azonosítja, hogy vannak-e kapcsolódó biztonsági rések. A rendszer riasztásként megjelöli az nyílt forráskód összetevőkből származó esetleges biztonsági réseket. Ezzel a frissítéssel elvetheti a függőségvizsgálati riasztásokat az Advanced Securityben, amelyekről úgy véli, hogy hamis pozitív vagy elfogadható kockázat.

Az Azure Reposban módosítottuk az alapértelmezett viselkedést, hogy eltávolítsuk a "Szabályzatok szerkesztése" engedélyt egy új ág létrehozásakor.

Ezekről a funkciókról a kibocsátási megjegyzésekben olvashat bővebben.

GitHub Advanced Security for Azure DevOps

• Riasztások nyugtázása függőségszkennelési riasztások esetén az Advanced Securityben

Azure Boards

• Hivatkozás másolása munkaelemre

Azure Pipelines

• A Kubernetes-feladatok mostantól támogatják a kubelogin használatát
• YAML cron-ütemezések frissítései
• Ellenőrzés letiltása
• A jóváhagyási REST API fejlesztései
• Új kapcsolók a klasszikus folyamatok létrehozásának szabályozásához

Azure Repos

• A "Szabályzatok szerkesztése" engedély eltávolítása az ág létrehozója számára

Általános

Riasztások nyugtázása függőségszkennelési riasztások esetén az Advanced Securityben

Mostantól elvetheti a téves pozitív vagy elfogadható kockázatnak vélt függőségvizsgálati riasztásokat. Ezek ugyanazok az elbocsátási lehetőségek a titkos kódok vizsgálatára és a kódkeresésre vonatkozó riasztásokhoz az Advanced Securityben, amelyeket jelenleg használhat.

Vegye figyelembe, hogy előfordulhat, hogy újra kell futtatnia az észlelési folyamatot a függőségvizsgálati feladattal, valamint győződjön meg arról, hogy rendelkezik a Advanced Security: dismiss alerts riasztások elvetéséhez szükséges engedélyekkel.

A riasztások elutasításáról további információt a függőségvizsgálati riasztások elvetése című témakörben talál.

Azure Boards

Hivatkozás másolása munkaelemre

Kis fejlesztést hajtottunk végre a munkaelem URL-címének másolásához az Azure Boards több területéről. Egyszerűbbé teszi egy adott munkaelem közvetlen hivatkozásának lekérését.

A másolási hivatkozás hozzá lett adva a munkahelyi eleműrlap, a hátralék és a feladat-hátralék helyi menüjéhez.

Feljegyzés

Ez a funkció csak a New Boards Hubs előzetes verziójával lesz elérhető.

Azure Pipelines

A Kubernetes-feladatok mostantól támogatják a kubelogin használatát

Frissítettük az KuberentesManifest@1, HelmDeploy@0, Kubernetes@1 és AzureFunctionOnKubernetes@1 feladatokat a kubelogin támogatásához. Ez lehetővé teszi az Azure Active Directory-integrációval konfigurált Azure Kubernetes Service (AKS) megcélzását.

A Kubelogin nincs előre telepítve a üzemeltetett rendszerképeken. Ha meg szeretné győződni arról, hogy a fent említett tevékenységek kubelogint használnak, telepítse a KubeloginInstaller@0 feladatot az attól függő tevékenység elé:

 - task: KubeloginInstaller@0

 - task: HelmDeploy@0
   # arguments do not need to be modified to use kubelogin

A jóváhagyási REST API fejlesztései

A jóváhagyások növelik a YAML-folyamat biztonságát azáltal, hogy lehetővé teszi az éles környezetben történő üzembe helyezés manuális felülvizsgálatát. Frissítettük a Jóváhagyási lekérdezés REST API-t , hogy még hatékonyabb legyen. Most a következőt kell:

• Nem kell megadnia az approvalIds-ek listáját. Most már minden paraméter nem kötelező.
• Megadhatja az userIds-k listáját, hogy lekérje az ezeken a felhasználókon függőben lévő jóváhagyások listáját. A REST API jelenleg azon jóváhagyások listáját adja vissza, amelyekhez a felhasználók kifejezetten jóváhagyókként vannak hozzárendelve.
• Megadhatja például a state visszaadni pendingkívánt jóváhagyásokat.

Íme egy példa: GET https://dev.azure.com/fabrikamfiber/fabrikam-chat/_apis/pipelines/approvals?api-version=7.1-preview.1&userId=00aa00aa-bb11-cc22-dd33-44ee44ee44ee&state=pending visszaadja

{
    "count": 2,
    "value":
    [
        {
            "id": "87436c03-69a3-42c7-b5c2-6abfe049ee4c",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/87436c03-69a3-42c7-b5c2-6abfe049ee4c"
                }
            }
        },
        {
            "id": "2549baca-104c-4a6f-b05f-bdc4065a53b7",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/2549baca-104c-4a6f-b05f-bdc4065a53b7"
                }
            }
        }
    ]
}

Ellenőrzés letiltása

A hibakeresési ellenőrzések kevésbé unalmasak. Előfordulhat, hogy az Azure-függvények meghívása vagy a REST API-k meghívása nem működik megfelelően, ezért ki kell javítania. Korábban törölnie kellett az ilyen ellenőrzéseket, hogy megakadályozzák, hogy hibásan blokkolják az üzembe helyezést. Miután kijavította az ellenőrzést, vissza kellett adnia, és helyesen kellett konfigurálnia, hogy az összes szükséges fejléc be legyen állítva, vagy a lekérdezési paraméterek helyesek legyenek. Ez unalmas.

Most egyszerűen letilthatja az ellenőrzést. A letiltott ellenőrzés nem fog futni az ellenőrzőcsomag későbbi kiértékelései során.

A hibás ellenőrzés kijavítása után egyszerűen engedélyezheti azt.

YAML cron-ütemezések frissítései

A YAML-folyamatokban az ütemezett eseményindítókat a cron YAML tulajdonság használatával határozhatja meg.

Frissítettük a batch tulajdonság működését. Dióhéjban, ha be van állítvabatch, a cron ütemezés nem fog futni, ha egy másik ütemezett folyamatfuttatás van truefolyamatban. Ez a folyamatadattár verziójától függetlenül történik.

Az alábbi táblázat a használat módját always és batch működését ismerteti.

Mindig	Batch	Működés
false	false	A folyamat csak akkor fut, ha az utolsó sikeres ütemezett folyamatfuttatás tekintetében változás történt
false	true	A folyamat csak akkor fut, ha az utolsó sikeres ütemezett folyamatfuttatáshoz képest változás történt, és nincs folyamatban lévő ütemezett folyamatfuttatás
true	false	A folyamat a cron ütemezésének megfelelően fut
true	true	A folyamat a cron ütemezésének megfelelően fut

Tegyük fel például, hogy always: false és batch: true. Tegyük fel, hogy van egy cron ütemezés, amely meghatározza, hogy a folyamatnak 5 percenként kell futnia. Tegyük fel, hogy van egy új véglegesítés. A folyamat 5 percen belül elindítja az ütemezett futtatásokat. Tegyük fel, hogy egy folyamat futtatása 30 percet vesz igénybe. Ezen a 30 percen belül nem történik ütemezett futtatás a véglegesítések számától függetlenül. A következő ütemezett futtatás csak az aktuális ütemezett futtatás befejezése után történik.

A YAML-folyamat több cronütemezést tartalmazhat, és előfordulhat, hogy azt szeretné, hogy a folyamat különböző fázisokat /feladatokat futtasson a cron ütemezési futása alapján. Például van egy éjszakai és egy heti buildje, és azt szeretné, hogy a heti build során a folyamat további statisztikákat gyűjtsön.

Ezt egy új előre definiált rendszerváltozó Build.CronSchedule.DisplayName bevezetésével tesszük lehetővé, amely egy displayName cron ütemezés tulajdonságát tartalmazza.

Új kapcsolók a klasszikus folyamatok létrehozásának szabályozásához

Tavaly elindítottunk egy pipelines konfigurációs beállítást, amely letiltja a klasszikus buildelési és kiadási folyamatok létrehozását.

Visszajelzésére válaszul a kezdeti kapcsolót két részre osztottuk: egyet a klasszikus buildelési folyamatokhoz, egyet a klasszikus kiadási folyamatokhoz, az üzembehelyezési csoportokat és a feladatcsoportokat.

Ha a szervezetnél be van kapcsolva a Disable creation of classic build and release pipelines kapcsoló, mindkét új kapcsoló be van kapcsolva. Ha az eredeti kapcsoló ki van kapcsolva, mindkét új kapcsoló ki van kapcsolva.

Azure Repos

A "Szabályzatok szerkesztése" engedély eltávolítása az ág létrehozója számára

Korábban, amikor létrehozott egy új ágat, engedélyt kaptunk a szabályzatok szerkesztésére az adott ágon. Ezzel a frissítéssel megváltoztatjuk az alapértelmezett viselkedést, hogy ne legyen megadható ez az engedély még akkor sem, ha az „Engedélykezelés” beállítás be van kapcsolva az adattárban.

A Szabályzatok szerkesztése engedélyt explicit módon (manuálisan vagy REST API-n keresztül) kell megkapnia biztonsági engedélyöröklés vagy csoporttagság alapján.

Következő lépések

Feljegyzés

Ezek a funkciók a következő két-három hétben jelennek meg.

Lépjen az Azure DevOpsba, és nézze meg.

Ugrás az Azure DevOpsra

Visszajelzés küldése

Szeretnénk hallani, mit gondol ezekről a funkciókról. A súgómenüvel jelentheti a problémát, vagy javaslatot adhat.

Tanácsokat és kérdéseket is kaphat a közösség által a Stack Overflow-on.

Köszönettel:

Silviu Andrica