Controlli dei criteri degli artefatti
Azure DevOps Services
I criteri degli artefatti vengono applicati prima della distribuzione in ambienti critici, ad esempio la produzione. Questi criteri vengono valutati in base a tutti gli artefatti distribuibili nell'esecuzione della pipeline specificata e bloccano la distribuzione se gli artefatti non sono conformi. L'aggiunta di un controllo per valutare Artifact richiede la configurazione dei criteri personalizzati. Questa guida descrive come creare criteri personalizzati.
Nota
Attualmente, i tipi di artefatti supportati sono per le immagini del contenitore e gli ambienti Kubernetes
Prerequisiti
Usare Rego per definire criteri facili da leggere e scrivere.
Acquisire familiarità con il linguaggio di query Rego . Le nozioni di base verranno eseguite.
Per supportare modelli di documenti strutturati come JSON, Rego estende Datalog. Le query Rego sono asserzioni sui dati archiviati in OPA. Queste query possono essere usate per definire criteri che enumerare istanze di dati che violano lo stato previsto del sistema.
Creazione di criteri personalizzati
Di seguito sono riportati i criteri di esempio condivisi. In base ai requisiti, è possibile creare un set personalizzato di criteri.
Controllare un progetto o una pipeline specifici
Questo criterio controlla se le immagini vengono compilate da Azure Pipelines e Pipeline-foo. Per il corretto funzionamento, la definizione della pipeline deve eseguire l'override del campo del nome in un modo simile a: AzureDevOps_$(BuildDefinitionName)_$(Date:yyyYMMdd)$(Rev:.r). Per altre informazioni sulle esecuzioni della pipeline di denominazione, vedere qui.
allowedBuilder := "AzureDevOps_pipeline-foo"
checkBuilder[errors] {
trace("Check if images are built by Azure Pipelines")
resourceUri := values[index].build.resourceUri
image := fetchImage(resourceUri)
builder := values[index].build.build.provenance.builderVersion
trace(sprintf("%s: builder", [builder]))
not startswith(builder, "allowedBuilder")
errors := sprintf("%s: image not built by Azure Pipeline [%s]", [image,builder])
}
fetchRegistry(uri) = reg {
out := regex.find_n("//.*/", uri, 1)
reg = trim(out[0], "/")
}
fetchImage(uri) = img {
out := regex.find_n("/.*@", uri, 1)
img := trim(out[0], "/@")
}
Controllare i registri consentiti
Questo criterio controlla se le immagini provengono solo da registri consentiti.
allowlist = {
"gcr.io/myrepo",
"raireg1.azurecr.io"
}
checkregistries[errors] {
trace(sprintf("Allowed registries: %s", [concat(", ", allowlist)]))
resourceUri := values[index].image.resourceUri
registry := fetchRegistry(resourceUri)
image := fetchImage(resourceUri)
not allowlist[registry]
errors := sprintf("%s: source registry not permitted", [image])
}
fetchRegistry(uri) = reg {
out := regex.find_n("//.*/", uri, 1)
reg = trim(out[0], "/")
}
fetchImage(uri) = img {
out := regex.find_n("/.*@", uri, 1)
img := trim(out[0], "/@")
}
Controllare le porte non consentite
Questo criterio verifica la presenza di porte non consentite esposte nell'immagine del contenitore.
forbiddenPorts = {
"80",
"22"
}
checkExposedPorts[errors] {
trace(sprintf("Checking for forbidden exposed ports: %s", [concat(", ", forbiddenPorts)]))
layerInfos := values[index].image.image.layerInfo
layerInfos[x].directive == "EXPOSE"
resourceUri := values[index].image.resourceUri
image := fetchImage(resourceUri)
ports := layerInfos[x].arguments
trace(sprintf("exposed ports: %s", [ports]))
forbiddenPorts[ports]
errors := sprintf("%s: image exposes forbidden port %s", [image,ports])
}
fetchRegistry(uri) = reg {
out := regex.find_n("//.*/", uri, 1)
reg = trim(out[0], "/")
}
fetchImage(uri) = img {
out := regex.find_n("/.*@", uri, 1)
img := trim(out[0], "/@")
}
Controllare le distribuzioni precedenti
Questo criterio controlla se l'immagine è stata pre-distribuita in uno/più ambienti prima di essere distribuita in un ambiente o in risorse specifiche con Check configurato.
predeployedEnvironments = {
"env/resource1",
"env2/resource3"
}
checkDeployedEnvironments[errors] {
trace(sprintf("Checking if the image has been pre-deployed to one of: [%s]", [concat(", ", predeployedEnvironments)]))
deployments := values[index].deployment
deployedAddress := deployments[i].deployment.address
trace(sprintf("deployed to : %s",[deployedAddress]))
resourceUri := deployments[i].resourceUri
image := fetchImage(resourceUri)
not predeployedEnvironments[deployedAddress]
trace(sprintf("%s: fails pre-deployed environment condition. found %s", [image,deployedAddress]))
errors := sprintf("image %s fails pre-deployed environment condition. found %s", [image,deployedAddress])
}
fetchRegistry(uri) = reg {
out := regex.find_n("//.*/", uri, 1)
reg = trim(out[0], "/")
}
fetchImage(uri) = img {
out := regex.find_n("/.*@", uri, 1)
img := trim(out[0], "/@")
}
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per