Megosztás a következőn keresztül:

Egyéb biztonsági szempontok

  • Cikk

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

A folyamatok biztonságossá tételekor érdemes megfontolni néhány egyéb szempontot is.

A PATH-ra támaszkodik

Az ügynök PATH beállítására támaszkodni veszélyes. Lehet, hogy nem arra mutat, ahol ön szerint igen, mivel egy korábbi szkript vagy eszköz esetleg módosította azt. A biztonsági szempontból kritikus szkriptek és bináris fájlok esetében mindig használja a program teljes elérési útját.

Titkos kódok naplózása

Az Azure Pipelines lehetőség szerint megpróbálja megtisztítani a titkos kódokat a naplókból. Ez a szűrés a legjobb erőfeszítésen alapul, és nem képes minden olyan módon elfogni, hogy a titkos kódok kiszivároghatnak. Kerülje a titkos kódok konzolon való visszhangzását, parancssori paraméterekben való használatát vagy fájlokba való naplózását.

Tárolók zárolása

A tárolók néhány rendszer által biztosított kötetcsatlakoztatási leképezéssel rendelkeznek a feladatokban, a munkaterületen és a gazdaügynökkel való kommunikációhoz szükséges külső összetevőkben. Ezeket a köteteket írásvédettként jelölheti meg.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

A legtöbb embernek csak olvashatóként kell megjelölnie az első háromat, és írásvédettként kell hagynia work . Ha tudja, hogy nem fog írni a munkakönyvtárba egy adott feladatban vagy lépésben, folytassa, és írásvédetté is tegye work . Ha a folyamatban vannak olyan feladatok, amelyek önmódosítást hajtanak végre, előfordulhat, hogy írási-olvasási módban kell hagynia tasks .

Az elérhető tevékenységek szabályozása

Letilthatja a feladatok marketplace-ről történő telepítését és futtatását. Így nagyobb mértékben szabályozhatja a folyamatban végrehajtott kódot. Az összes beépített feladatot is letilthatja (a Kivétel kivételével, amely az ügynök speciális művelete). Javasoljuk, hogy a legtöbb esetben ne tiltsa le a beépített feladatokat.

A szolgáltatással tfx közvetlenül telepített feladatok mindig elérhetők. Ha mindkét funkció engedélyezve van, csak ezek a feladatok érhetők el.

A naplózási szolgáltatás használata

A naplózási szolgáltatás számos folyamateseményt rögzít. Rendszeresen tekintse át az auditnaplót, és győződjön meg arról, hogy nem csúsztak át rosszindulatú módosítások. Látogasson el https://dev.azure.com/ORG-NAME/_settings/audit az első lépésekhez.

Következő lépések

Térjen vissza az áttekintéshez , és győződjön meg arról, hogy minden cikket tárgyalt.