Bagikan melalui


Pertimbangan keamanan lainnya

Layanan Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020

Ada beberapa hal lain yang harus Anda pertimbangkan saat mengamankan alur.

Mengandalkan PATH

Mengandalkan pengaturan agen PATH berbahaya. Ini mungkin tidak menunjukkan di mana Anda berpikir itu, karena skrip atau alat sebelumnya bisa mengubahnya. Untuk skrip dan biner penting keamanan, selalu gunakan jalur yang sepenuhnya memenuhi syarat ke program.

Pengelogan rahasia

Azure Pipelines mencoba menggosok rahasia dari log sedapat mungkin. Pemfilteran ini dilakukan dengan upaya terbaik dan tidak dapat menangkap segala cara agar rahasia dapat bocor. Hindari menggemakan rahasia ke konsol, menggunakannya dalam parameter baris perintah, atau mencatatnya ke file.

Mengunci kontainer

Kontainer memiliki beberapa pemetaan pemasangan volume yang disediakan sistem dalam tugas, ruang kerja, dan komponen eksternal yang diperlukan untuk berkomunikasi dengan agen host. Anda dapat menandai salah satu atau semua volume ini sebagai baca-saja.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

Sebagian besar orang harus menandai tiga baca-saja pertama dan meninggalkan work sebagai baca-tulis. Jika Anda tahu bahwa Anda tidak akan menulis ke direktori kerja dalam pekerjaan atau langkah tertentu, lanjutkan dan buat work baca-saja juga. Jika Anda memiliki tugas dalam alur Anda, yang memodifikasi sendiri, Anda mungkin perlu meninggalkan tasks baca-tulis.

Mengontrol tugas yang tersedia

Anda dapat menonaktifkan kemampuan untuk menginstal dan menjalankan tugas dari Marketplace. Ini akan memungkinkan Anda kontrol yang lebih besar atas kode yang dijalankan dalam alur. Anda juga dapat menonaktifkan semua tugas dalam kotak (kecuali Checkout, yang merupakan tindakan khusus pada agen). Kami menyarankan agar Anda tidak menonaktifkan tugas dalam kotak dalam sebagian besar keadaan.

Tugas yang diinstal tfx langsung selalu tersedia. Dengan kedua fitur ini diaktifkan, hanya tugas-tugas yang tersedia.

Menggunakan layanan Audit

Banyak peristiwa alur dicatat dalam layanan Audit. Tinjau log audit secara berkala untuk memastikan tidak ada perubahan berbahaya yang melewatinya. Kunjungi https://dev.azure.com/ORG-NAME/_settings/audit untuk memulai.

Langkah berikutnya

Kembali ke gambaran umum dan pastikan Anda telah membahas setiap artikel.