Raccomandazioni per strutturare in modo sicuro i progetti nella pipeline
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Oltre la scala delle singole risorse, è anche consigliabile considerare i gruppi di risorse. In Azure DevOps le risorse vengono raggruppate in base ai progetti del team. È importante comprendere le risorse a cui la pipeline può accedere in base alle impostazioni del progetto e al contenimento.
Ogni processo nella pipeline riceve un token di accesso. Questo token dispone delle autorizzazioni per leggere le risorse aperte. In alcuni casi, le pipeline potrebbero anche aggiornare tali risorse. In altre parole, l'account utente potrebbe non avere accesso a una determinata risorsa, ma gli script e le attività eseguite nella pipeline potrebbero avere accesso a tale risorsa. Il modello di sicurezza in Azure DevOps consente anche l'accesso a queste risorse da altri progetti nell'organizzazione. Se si sceglie di arrestare l'accesso alla pipeline ad alcune di queste risorse, la decisione si applica a tutte le pipeline in un progetto. Una pipeline specifica non può essere concessa l'accesso a una risorsa aperta.
Progetti separati
Dato la natura delle risorse aperte, è consigliabile considerare la gestione di ogni prodotto e team in un progetto separato. Questa procedura garantisce che una pipeline di un prodotto non possa accedere alle risorse aperte da un altro prodotto. In questo modo si impedisce l'esposizione laterale. Quando più team o prodotti condividono un progetto, non è possibile isolare in modo granulare le risorse tra loro.
Se l'organizzazione Azure DevOps è stata creata prima di agosto 2019, le esecuzioni potrebbero essere in grado di accedere alle risorse aperte in tutti i progetti dell'organizzazione. L'amministratore dell'organizzazione deve esaminare un'impostazione di sicurezza chiave in Azure Pipelines che consente l'isolamento del progetto per le pipeline. Questa impostazione è disponibile in Impostazionipipeline dell'organizzazione>>DevOps>di Azure. In alternativa, passare direttamente a questa posizione di Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Passaggi successivi
Dopo aver configurato la struttura del progetto corretta, migliorare la sicurezza del runtime usando i modelli.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per