Andere beveiligingsoverwegingen
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Er zijn een aantal andere dingen waarmee u rekening moet houden bij het beveiligen van pijplijnen.
Afhankelijk van PATH
Vertrouwen op de instelling van PATH de agent is gevaarlijk.
Het is mogelijk niet waar u denkt dat dit het geval is, omdat een eerder script of hulpprogramma het mogelijk heeft gewijzigd.
Gebruik voor beveiligingskritieke scripts en binaire bestanden altijd een volledig gekwalificeerd pad naar het programma.
Logboekregistratie van geheimen
Azure Pipelines probeert waar mogelijk geheimen uit logboeken te verwijderen. Deze filtering is op basis van best effort en kan niet op elke manier worden ondervangen dat geheimen kunnen worden gelekt. Vermijd het echoën van geheimen naar de console, het gebruik ervan in opdrachtregelparameters of logboekregistratie bij bestanden.
Containers vergrendelen
Containers hebben een aantal door het systeem geleverde toewijzingen voor volumekoppelingen in de taken, de werkruimte en externe onderdelen die nodig zijn om te communiceren met de hostagent. U kunt een of meer van deze volumes markeren als alleen-lezen.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
De meeste mensen moeten de eerste drie alleen-lezen markeren en laten staan work als lezen/schrijven.
Als u weet dat u in een bepaalde taak of stap niet naar de werkmap schrijft, kunt u ook alleen-lezen maken work .
Als u taken in uw pijplijn hebt die zelf worden gewijzigd, moet u mogelijk lezen/schrijven verlaten tasks .
Beschikbare taken beheren
U kunt de mogelijkheid om taken vanuit Marketplace te installeren en uit te voeren uitschakelen. Hierdoor hebt u meer controle over de code die in een pijplijn wordt uitgevoerd. U kunt ook alle in-the-box taken uitschakelen (met uitzondering van Uitchecken, een speciale actie voor de agent). We raden u aan om in-the-box-taken in de meeste gevallen niet uit te schakelen.
Taken die rechtstreeks zijn geïnstalleerd met tfx zijn altijd beschikbaar.
Als beide functies zijn ingeschakeld, zijn alleen deze taken beschikbaar.
De controleservice gebruiken
Veel pijplijn gebeurtenissen worden vastgelegd in de controleservice.
Controleer het auditlogboek regelmatig om er zeker van te zijn dat er geen schadelijke wijzigingen voorbij zijn gegaan.
Ga naar https://dev.azure.com/ORG-NAME/_settings/audit om aan de slag te gaan.
Volgende stappen
Ga terug naar het overzicht en zorg ervoor dat u elk artikel hebt behandeld.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor