Share via


Plannen hoe u uw YAML-pijplijnen beveiligt

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

U wordt aangeraden een incrementele benadering te gebruiken om uw pijplijnen te beveiligen. In het ideale voorbeeld implementeert u alle richtlijnen die wij bieden. Maar wees niet vervelend door het aantal aanbevelingen. En houd het niet aan om enkele verbeteringen aan te brengen, alleen omdat u nu niet alle wijzigingen kunt aanbrengen.

Beveiligingsaan aanbevelingen zijn afhankelijk van elkaar

Beveiligingsaan aanbevelingen hebben complexe onderlinge afhankelijkheden. Uw beveiligingspostuur is sterk afhankelijk van welke aanbevelingen u wilt implementeren. De aanbevelingen die u op hun beurt kiest, zijn afhankelijk van de zorgen van uw DevOps- en beveiligingsteams. Ze zijn ook afhankelijk van het beleid en de procedures van uw organisatie.

U kunt ervoor kiezen om de beveiliging op het ene kritieke gebied aan te scherpen en minder beveiliging te accepteren, maar meer gemak in een ander gebied. Als u bijvoorbeeld sjablonen gebruiktextendsom te vereisen dat alle builds in containers worden uitgevoerd, hebt u mogelijk geen afzonderlijke agentgroep nodig voor elk project.

Beginnen met een bijna lege sjabloon

Een goede plek om te beginnen is door extensie af te dwingen van een bijna lege sjabloon. Op deze manier hebt u, wanneer u begint met het toepassen van beveiligingsprocedures, een centrale plek die al elke pijplijn onderschept.

Zie Sjablonen voor meer informatie.

Het maken van klassieke pijplijnen uitschakelen

Notitie

Deze functie is beschikbaar vanaf Azure DevOps Server 2022.1.

Als u alleen YAML-pijplijnen ontwikkelt, schakelt u het maken van klassieke build- en release-pijplijnen uit. Zo voorkomt u een beveiligingsprobleem dat voortvloeit uit YAML en klassieke pijplijnen die dezelfde resources delen, bijvoorbeeld dezelfde serviceverbindingen.

U kunt het maken van klassieke build-pijplijnen en klassieke release-pijplijnen onafhankelijk uitschakelen. Wanneer u beide uitschakelt, kunnen er geen klassieke build-pijplijn, klassieke releasepijplijn, taakgroepen en implementatiegroepen worden gemaakt met behulp van de gebruikersinterface of de REST API.

U kunt het maken van klassieke pijplijnen uitschakelen door twee wisselknoppen in te schakelen op organisatie- of projectniveau. Als u ze wilt inschakelen, gaat u naar uw organisatie-/projectinstellingen en kiest u onder de sectie Pijplijnen Instellingen. In de sectie Algemeen schakelt u het maken van klassieke build-pijplijnen uit en schakelt u het maken van klassieke release-pijplijnen uit.

Wanneer u ze inschakelt op organisatieniveau, is deze ingeschakeld voor alle projecten in die organisatie. Als u ze uitschakelt, kunt u kiezen voor welke projecten u ze wilt inschakelen.

Om de beveiliging van nieuw gemaakte organisaties te verbeteren, beginnend met Sprint 226, wordt standaard het maken van klassieke build- en release-pijplijnen voor nieuwe organisaties uitgeschakeld.

Volgende stappen

Nadat u uw beveiligingsbenadering hebt gepland, kunt u overwegen hoe uw opslagplaatsen beveiliging bieden.