Peningkatan untuk memperkuat keamanan alur
Dengan pembaruan ini, kami menyertakan peningkatan untuk memperkuat keamanan di Azure DevOps. Sekarang Anda dapat menggunakan Identitas Terkelola yang ditetapkan Sistem saat membuat koneksi layanan Docker Registry untuk Azure Container Registry. Selain itu, kami telah meningkatkan manajemen akses untuk kumpulan agen untuk memungkinkan Anda menentukan penggunaan sumber daya dalam alur YAML. Terakhir, kami membatasi token akses GitHub untuk repositori GitHub publik fork agar memiliki cakupan baca-saja.
Lihat catatan rilis untuk detailnya.
Azure Boards
Azure Pipelines
- Koneksi layanan Container Registry sekarang dapat menggunakan Azure Managed Identities
- Mengaudit peristiwa log yang terkait dengan izin alur
- Pastikan organisasi Anda hanya menggunakan alur YAML
- Cakupan PAT baru diperlukan untuk memperbarui Pengaturan Umum alur
- Manajemen akses menenangkan untuk kumpulan agen
- Mencegah pemberian akses semua alur ke sumber daya yang dilindungi
- Keamanan yang ditingkatkan saat membangun permintaan pull dari repositori GitHub bercabangan
- Label terbaru Macos akan menunjuk ke gambar macos-12
- Label terbaru Ubuntu akan menunjuk ke gambar ubuntu-22.04
Azure Boards
Salin tautan komentar
Sekarang Anda dapat menggunakan tindakan Salin tautan untuk menyalin tautan ke komentar item kerja tertentu. Anda kemudian dapat menempelkan tautan tersebut ke komentar atau deskripsi item kerja lain. Saat diklik, item kerja akan dibuka, dan komentar disorot.
Fitur ini diprioritaskan berdasarkan tiket saran komunitas ini.
Catatan
Fitur ini hanya akan tersedia dengan pratinjau New Boards Hubs.
Azure Pipelines
Koneksi layanan Container Registry sekarang dapat menggunakan Azure Managed Identities
Anda dapat menggunakan Identitas Terkelola yang ditetapkan Sistem saat membuat koneksi layanan Docker Registry untuk Azure Container Registry. Ini memungkinkan Anda mengakses Azure Container Registry menggunakan Identitas Terkelola yang terkait dengan agen Azure Pipelines yang dihost sendiri, menghilangkan kebutuhan untuk mengelola kredensial.
Catatan
Identitas Terkelola yang digunakan untuk mengakses Azure Container Registry akan memerlukan penetapan Azure Role Based Access Control (RBAC) yang sesuai, misalnya peran AcrPull atau AcrPush.
Mengaudit peristiwa log yang terkait dengan izin alur
Saat Anda membatasi izin alur sumber daya yang dilindungi, seperti koneksi layanan, Log Peristiwa Audit terkait sekarang menyatakan bahwa sumber daya berhasil tidak diizinkan untuk proyeknya.
Pastikan organisasi Anda hanya menggunakan alur YAML
Azure DevOps sekarang memungkinkan Anda memastikan organisasi Anda hanya menggunakan alur YAML, dengan menonaktifkan pembuatan alur build klasik, alur rilis klasik, grup tugas, dan grup penyebaran. Alur klasik yang ada akan terus berjalan, dan Anda akan dapat mengeditnya, tetapi Anda tidak akan dapat membuat yang baru.
Anda dapat menonaktifkan pembuatan alur klasik di tingkat organisasi atau tingkat proyek, dengan mengaktifkan tombol yang sesuai. Tombol dapat ditemukan di Project / Organization Pengaturan -> Pipelines -> Pengaturan.
Status tombol mati secara default, dan Anda akan memerlukan hak admin untuk mengubah status. Jika tombol aktif di tingkat organisasi, penonaktifan diberlakukan untuk semua proyek. Jika tidak, setiap proyek gratis untuk memilih apakah akan memberlakukan atau tidak penonaktifan.
Saat menonaktifkan pembuatan alur klasik diberlakukan, REST API yang terkait dengan pembuatan alur klasik, grup tugas, dan grup penyebaran akan gagal. REST API yang membuat alur YAML akan berfungsi.
Menonaktifkan pembuatan alur klasik adalah keikutsertaan untuk organisasi yang ada. Untuk organisasi baru, organisasi tersebut ikut serta untuk saat ini.
Cakupan PAT baru diperlukan untuk memperbarui Pengaturan Umum alur
Memanggil General Pengaturan - Update REST API sekarang memerlukan PAT dengan lingkup Project dan Team -> Read &Write.
Manajemen akses menenangkan untuk kumpulan agen
Kumpulan agen memungkinkan Anda menentukan dan mengelola komputer tempat alur Anda berjalan.
Sebelumnya, jika Anda menggunakan kumpulan agen kustom, mengelola alur mana yang dapat mengaksesnya secara kasar. Anda dapat mengizinkan semua alur untuk menggunakannya, atau Anda dapat mengharuskan setiap alur meminta izin. Sayangnya, setelah Anda memberikan izin akses alur ke kumpulan agen, Anda tidak dapat mencabutnya menggunakan UI alur.
Azure Pipelines sekarang menyediakan manajemen akses menenangkan untuk kumpulan agen. Pengalaman ini mirip dengan yang untuk mengelola izin alur untuk Koneksi Layanan.
Mencegah pemberian akses semua alur ke sumber daya yang dilindungi
Saat Anda membuat sumber daya yang dilindungi seperti koneksi layanan atau lingkungan, Anda memiliki opsi untuk memilih kotak centang Berikan izin akses ke semua alur . Hingga saat ini, opsi ini dicentang secara default.
Meskipun ini memudahkan alur untuk menggunakan sumber daya baru yang dilindungi, sebaliknya adalah mendukung pemberian terlalu banyak alur secara tidak sengaja hak untuk mengakses sumber daya.
Untuk mempromosikan pilihan aman secara default, Azure DevOps sekarang membiarkan kotak centang tidak dicentang.
Keamanan yang ditingkatkan saat membangun permintaan pull dari repositori GitHub bercabangan
Anda dapat menggunakan Azure DevOps untuk membangun dan menguji repositori GitHub publik Anda. Memiliki repositori GitHub publik memungkinkan Anda berkolaborasi dengan pengembang di seluruh dunia, tetapi dilengkapi dengan masalah keamanan yang terkait dengan membangun permintaan pull (PR) dari repositori fork.
Untuk mencegah PR dari repositori GitHub fork agar tidak membuat perubahan yang tidak diinginkan pada repositori Anda, Azure DevOps sekarang membatasi token akses GitHub untuk memiliki cakupan baca-saja.
Label terbaru Macos akan menunjuk ke gambar macos-12
Gambar macos-12 Monterey siap menjadi versi default untuk label "macos-latest" di agen yang dihosting Microsoft Azure Pipelines. Hingga saat ini, label ini menunjuk ke agen Big Sur macos-11.
Untuk daftar lengkap perbedaan antara macos-12 dan macos-11, kunjungi masalah GitHub. Untuk daftar lengkap perangkat lunak yang diinstal pada gambar, periksa di sini.
Label terbaru Ubuntu akan menunjuk ke gambar ubuntu-22.04
Gambar ubuntu-22.04 siap menjadi versi default untuk label terbaru ubuntu di agen yang dihosting Microsoft Azure Pipelines. Hingga saat ini, label ini menunjuk ke agen ubuntu-20.04.
Untuk daftar lengkap perbedaan antara ubuntu-22.04 dan ubuntu-20.04, kunjungi masalah GitHub. Untuk daftar lengkap perangkat lunak yang diinstal pada gambar, periksa di sini.
Langkah berikutnya
Catatan
Fitur-fitur ini akan diluncurkan selama dua hingga tiga minggu ke depan.
Buka Azure DevOps dan lihat.
Cara memberikan umpan balik
Kami akan senang mendengar apa yang Anda pikirkan tentang fitur-fitur ini. Gunakan menu bantuan untuk melaporkan masalah atau memberikan saran.
Anda juga bisa mendapatkan saran dan pertanyaan yang dijawab oleh komunitas di Stack Overflow.
Terima kasih,
Vijay Machiraju