Pertimbangan keamanan lainnya
Layanan Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020
Ada beberapa hal lain yang harus Anda pertimbangkan saat mengamankan alur.
Mengandalkan PATH
Mengandalkan pengaturan agen PATH berbahaya.
Ini mungkin tidak menunjukkan di mana Anda berpikir itu, karena skrip atau alat sebelumnya bisa mengubahnya.
Untuk skrip dan biner penting keamanan, selalu gunakan jalur yang sepenuhnya memenuhi syarat ke program.
Pengelogan rahasia
Azure Pipelines mencoba menggosok rahasia dari log sedapat mungkin. Pemfilteran ini dilakukan dengan upaya terbaik dan tidak dapat menangkap segala cara agar rahasia dapat bocor. Hindari menggemakan rahasia ke konsol, menggunakannya dalam parameter baris perintah, atau mencatatnya ke file.
Mengunci kontainer
Kontainer memiliki beberapa pemetaan pemasangan volume yang disediakan sistem dalam tugas, ruang kerja, dan komponen eksternal yang diperlukan untuk berkomunikasi dengan agen host. Anda dapat menandai salah satu atau semua volume ini sebagai baca-saja.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
Sebagian besar orang harus menandai tiga baca-saja pertama dan meninggalkan work sebagai baca-tulis.
Jika Anda tahu bahwa Anda tidak akan menulis ke direktori kerja dalam pekerjaan atau langkah tertentu, lanjutkan dan buat work baca-saja juga.
Jika Anda memiliki tugas dalam alur Anda, yang memodifikasi sendiri, Anda mungkin perlu meninggalkan tasks baca-tulis.
Mengontrol tugas yang tersedia
Anda dapat menonaktifkan kemampuan untuk menginstal dan menjalankan tugas dari Marketplace. Ini akan memungkinkan Anda kontrol yang lebih besar atas kode yang dijalankan dalam alur. Anda juga dapat menonaktifkan semua tugas dalam kotak (kecuali Checkout, yang merupakan tindakan khusus pada agen). Kami menyarankan agar Anda tidak menonaktifkan tugas dalam kotak dalam sebagian besar keadaan.
Tugas yang diinstal tfx langsung selalu tersedia.
Dengan kedua fitur ini diaktifkan, hanya tugas-tugas yang tersedia.
Menggunakan layanan Audit
Banyak peristiwa alur dicatat dalam layanan Audit.
Tinjau log audit secara berkala untuk memastikan tidak ada perubahan berbahaya yang melewatinya.
Kunjungi https://dev.azure.com/ORG-NAME/_settings/audit untuk memulai.
Langkah berikutnya
Kembali ke gambaran umum dan pastikan Anda telah membahas setiap artikel.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk