Delen via


Andere beveiligingsoverwegingen

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Er zijn een aantal andere dingen waarmee u rekening moet houden bij het beveiligen van pijplijnen.

Afhankelijk van PATH

Vertrouwen op de instelling van PATH de agent is gevaarlijk. Het is mogelijk niet waar u denkt dat dit het geval is, omdat een eerder script of hulpprogramma het mogelijk heeft gewijzigd. Gebruik voor beveiligingskritieke scripts en binaire bestanden altijd een volledig gekwalificeerd pad naar het programma.

Logboekregistratie van geheimen

Azure Pipelines probeert waar mogelijk geheimen uit logboeken te verwijderen. Deze filtering is op basis van best effort en kan niet op elke manier worden ondervangen dat geheimen kunnen worden gelekt. Vermijd het echoën van geheimen naar de console, het gebruik ervan in opdrachtregelparameters of logboekregistratie bij bestanden.

Containers vergrendelen

Containers hebben een aantal door het systeem geleverde toewijzingen voor volumekoppelingen in de taken, de werkruimte en externe onderdelen die nodig zijn om te communiceren met de hostagent. U kunt een of meer van deze volumes markeren als alleen-lezen.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

De meeste mensen moeten de eerste drie alleen-lezen markeren en laten staan work als lezen/schrijven. Als u weet dat u in een bepaalde taak of stap niet naar de werkmap schrijft, kunt u ook alleen-lezen maken work . Als u taken in uw pijplijn hebt die zelf worden gewijzigd, moet u mogelijk lezen/schrijven verlaten tasks .

Beschikbare taken beheren

U kunt de mogelijkheid om taken vanuit Marketplace te installeren en uit te voeren uitschakelen. Hierdoor hebt u meer controle over de code die in een pijplijn wordt uitgevoerd. U kunt ook alle in-the-box taken uitschakelen (met uitzondering van Uitchecken, een speciale actie voor de agent). We raden u aan om in-the-box-taken in de meeste gevallen niet uit te schakelen.

Taken die rechtstreeks zijn geïnstalleerd met tfx zijn altijd beschikbaar. Als beide functies zijn ingeschakeld, zijn alleen deze taken beschikbaar.

De controleservice gebruiken

Veel pijplijn gebeurtenissen worden vastgelegd in de controleservice. Controleer het auditlogboek regelmatig om er zeker van te zijn dat er geen schadelijke wijzigingen voorbij zijn gegaan. Ga naar https://dev.azure.com/ORG-NAME/_settings/audit om aan de slag te gaan.

Volgende stappen

Ga terug naar het overzicht en zorg ervoor dat u elk artikel hebt behandeld.