Altre considerazioni sulla sicurezza
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Quando si proteggono le pipeline, è necessario prendere in considerazione alcune altre cose.
Affidarsi a PATH
Affidarsi all'impostazione dell'agente PATH è pericoloso.
Potrebbe non essere il punto in cui si ritiene che lo faccia, poiché uno script o uno strumento precedente potrebbe averlo modificato.
Per gli script e i file binari critici per la sicurezza, usare sempre un percorso completo per il programma.
Registrazione dei segreti
Azure Pipelines tenta di pulire i segreti dai log laddove possibile. Questo filtro è su base ottimale e non può intercettare ogni modo in cui i segreti possono essere persi. Evitare l'eco dei segreti nella console, usandoli nei parametri della riga di comando o registrandoli nei file.
Bloccare i contenitori
I contenitori hanno alcuni mapping dei montaggi di volume forniti dal sistema nelle attività, nell'area di lavoro e nei componenti esterni necessari per comunicare con l'agente host. È possibile contrassegnare uno o tutti questi volumi di sola lettura.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
La maggior parte delle persone deve contrassegnare i primi tre elementi di sola lettura e lasciare work in lettura/scrittura.
Se si sa che non si scriverà nella directory di lavoro in un determinato processo o passaggio, procedere e rendere work di sola lettura.
Se si dispone di attività nella pipeline, che vengono modificate automaticamente, potrebbe essere necessario lasciare tasks lettura/scrittura.
Controllare le attività disponibili
È possibile disabilitare la possibilità di installare ed eseguire attività dal Marketplace. Ciò consentirà un maggiore controllo sul codice eseguito in una pipeline. È anche possibile disabilitare tutte le attività incluse nella casella ,ad eccezione di Checkout, che è un'azione speciale per l'agente. È consigliabile non disabilitare le attività predefinite nella maggior parte dei casi.
Le attività installate direttamente con tfx sono sempre disponibili.
Con entrambe queste funzionalità abilitate, sono disponibili solo queste attività.
Usare il servizio di controllo
Nel servizio di controllo vengono registrati molti eventi della pipeline.
Esaminare periodicamente il log di controllo per assicurarsi che non siano state apportate modifiche dannose passate.
Visita https://dev.azure.com/ORG-NAME/_settings/audit per iniziare.
Passaggi successivi
Tornare alla panoramica e assicurarsi di aver trattato ogni articolo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per