Delen via

Waarschuwingen voor afhankelijkheidsscans verwijderen in Geavanceerde beveiliging

  • Artikel

Bij het scannen van afhankelijkheden in Advanced Security worden de opensource-onderdelen gedetecteerd die in uw broncode worden gebruikt en wordt aangegeven of er beveiligingsproblemen zijn gekoppeld. Eventuele gevonden beveiligingsproblemen van opensource-onderdelen worden gemarkeerd als een waarschuwing. Met deze update kunt u waarschuwingen voor afhankelijkheidsscans negeren in Geavanceerde beveiliging waarvan u denkt dat ze een fout-positief of acceptabel risico zijn.

In Azure-opslagplaatsen hebben we het standaardgedrag gewijzigd om de machtiging Beleid bewerken te verwijderen bij het maken van een nieuwe vertakking.

Bekijk de releaseopmerkingen voor meer informatie over deze functies.

GitHub Advanced Security voor Azure DevOps

Azure Boards

Azure-pipelines

Azure-opslagplaatsen

Algemeen

Waarschuwingen bij het scannen van afhankelijkheden uitschakelen in Geavanceerde beveiliging

U kunt nu waarschuwingen voor afhankelijkheidsscans negeren waarvan u denkt dat ze een fout-positief of acceptabel risico zijn. Dit zijn dezelfde ontslagopties voor het scannen van geheimen en waarschuwingen voor codescans in Advanced Security die u momenteel kunt gebruiken.

Een waarschuwing voor het scannen van afhankelijkheden sluiten

Houd er rekening mee dat u mogelijk de detectiepijplijn opnieuw moet uitvoeren met de taak voor het scannen van afhankelijkheden en ervoor moet zorgen dat u over de Advanced Security: dismiss alerts machtigingen beschikt om deze waarschuwingen te sluiten.

Zie Waarschuwingen voor het scannen van afhankelijkheden negeren voor meer informatie over waarschuwingsontzeggingen.

Azure Boards

We hebben een kleine verbetering aangebracht in het kopiëren van de URL van het werkitem uit verschillende gebieden in Azure Boards. Hierdoor is het eenvoudiger om de directe koppeling naar een specifiek werkitem te krijgen.

Afbeelding voor het kopiëren van contextmenu-item voor koppeling bij achterstand

De koppeling Kopiëren is toegevoegd aan de contextmenu's in het werkitemformulier, de achterstand en de taakachterstand.

Notitie

Deze functie is alleen beschikbaar in de preview-versie van New Boards Hubs.

Azure-pipelines

Kubernetes-taken ondersteunen nu kubelogin

We hebben de taken KuberentesManifest@1, HelmDeploy@0, Kubernetes@1 en AzureFunctionOnKubernetes@1 bijgewerkt ter ondersteuning van kubelogin. Zo kunt u zich richten op Azure Kubernetes Service (AKS) geconfigureerd met Azure Active Directory-integratie.

Kubelogin is niet vooraf geïnstalleerd op gehoste installatiekopieën. Als u wilt controleren of hierboven genoemde taken kubelogin gebruiken, installeert u deze door de KubeloginInstaller@0 taak in te voegen voordat de taak ervan afhankelijk is:

 - task: KubeloginInstaller@0

 - task: HelmDeploy@0
   # arguments do not need to be modified to use kubelogin

Verbeteringen in REST API voor goedkeuringen

Goedkeuringen verhogen de beveiliging van uw YAML-pijplijn door u de mogelijkheid te bieden om handmatig een implementatie naar productie te controleren. We hebben de REST API voor goedkeuringsquery's bijgewerkt om deze krachtiger te maken. Nu, u:

  • U hoeft geen lijst approvalIdmet s op te geven. Alle parameters zijn nu optioneel.
  • Kan een lijst met userIds opgeven om de lijst met goedkeuringen op te halen die in behandeling zijn voor deze gebruikers. Momenteel retourneert de REST API de lijst met goedkeuringen waarvoor de gebruikers expliciet zijn toegewezen als goedkeurders.
  • Kan opgeven welke state goedkeuringen moeten worden geretourneerd, bijvoorbeeld pending.

Hier volgt een voorbeeld: GET https://dev.azure.com/fabrikamfiber/fabrikam-chat/_apis/pipelines/approvals?api-version=7.1-preview.1&userId=00aa00aa-bb11-cc22-dd33-44ee44ee44ee&state=pending retourneert

{
    "count": 2,
    "value":
    [
        {
            "id": "87436c03-69a3-42c7-b5c2-6abfe049ee4c",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/87436c03-69a3-42c7-b5c2-6abfe049ee4c"
                }
            }
        },
        {
            "id": "2549baca-104c-4a6f-b05f-bdc4065a53b7",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/2549baca-104c-4a6f-b05f-bdc4065a53b7"
                }
            }
        }
    ]
}

Een controle uitschakelen

We hebben foutopsporingscontroles minder tijdrovend gemaakt. Soms werkt een Azure-functie aanroepen of REST API-controle aanroepen niet correct en moet u dit oplossen. Voorheen moest u dergelijke controles verwijderen om te voorkomen dat ze een implementatie per ongeluk blokkeren. Nadat u de controle hebt hersteld, moest u deze weer toevoegen en correct configureren, zodat alle vereiste headers zijn ingesteld of dat de queryparameters juist zijn. Dit is vervelend.

U kunt nu gewoon een controle uitschakelen. De uitgeschakelde controle wordt niet uitgevoerd in volgende evaluaties van het controlepakket.

Schakel een controleafbeelding uit.

Zodra u de foutieve controle hebt hersteld, kunt u deze gewoon inschakelen.

Schakel een controleafbeelding in.

Updates voor YAML-cron-schema's

In YAML-pijplijnen kunt u geplande triggers definiëren met behulp van de cron YAML-eigenschap.

We hebben de werking van de eigenschap batch bijgewerkt. In een notendop: als u batch instelt op true, wordt de cron-planning niet uitgevoerd als er een andere geplande pijplijnuitvoering wordt uitgevoerd. Dit is ongeacht de versie van de pijplijnopslagplaats.

In de volgende tabel wordt beschreven hoe always en batch interactie.

Altijd Batch Gedrag
false false Pijplijnuitvoeringen alleen als er een wijziging is met betrekking tot de laatste geslaagde geplande pijplijnuitvoering
false true Pijplijnuitvoeringen alleen als er een wijziging is met betrekking tot de laatste geslaagde geplande pijplijnuitvoering en er geen geplande pijplijnuitvoering wordt uitgevoerd
true false Pijplijnuitvoeringen volgens het cron-schema
true true Pijplijnuitvoeringen volgens het cron-schema

Stel bijvoorbeeld dat always: false en batch: true. Stel dat er een cron-schema is dat aangeeft dat de pijplijn elke 5 minuten moet worden uitgevoerd. Stel dat er een nieuwe doorvoering is. Binnen 5 minuten start de pijplijn de geplande uitvoering. Stel dat het 30 minuten duurt voordat een pijplijnuitvoering is voltooid. Binnen deze 30 minuten vindt er geen geplande uitvoering plaats, ongeacht het aantal doorvoeringen. De volgende geplande uitvoering vindt alleen plaats nadat de huidige geplande uitvoering is voltooid.

Uw YAML-pijplijn kan meerdere cron-planningen bevatten en mogelijk wilt u dat uw pijplijn verschillende fasen/taken uitvoert op basis van welke cron-planning wordt uitgevoerd. U hebt bijvoorbeeld een nachtelijke build en een wekelijkse build en u wilt dat tijdens de wekelijkse build van uw pijplijn meer statistieken worden verzameld.

We maken dit mogelijk door een nieuwe vooraf gedefinieerde systeemvariabele Build.CronSchedule.DisplayName te introduceren die de displayName eigenschap van een cron-schema bevat.

Nieuwe wisselknoppen voor het maken van klassieke pijplijnen

Vorig jaar hebben we een configuratie-instelling voor pijplijnen gestart om het maken van klassieke build- en release-pijplijnen uit te schakelen.

In reactie op uw feedback hebben we de eerste wisselknop gesplitst in twee: één voor klassieke build-pijplijnen en één voor klassieke release-pijplijnen , implementatiegroepen en taakgroepen.

Maken uitschakelen

Als uw organisatie de Disable creation of classic build and release pipelines wisselknop heeft ingeschakeld, zijn beide nieuwe wisselknoppen ingeschakeld. Als de oorspronkelijke wisselknop is uitgeschakeld, zijn beide nieuwe wisselknoppen uitgeschakeld.

Azure-opslagplaatsen

Machtiging Beleid bewerken verwijderen voor maker van vertakking

Toen u eerder een nieuwe vertakking hebt gemaakt, krijgt u toestemming om beleidsregels voor die vertakking te bewerken. Met deze update wijzigen we het standaardgedrag om deze machtiging niet te verlenen, zelfs als de instelling 'Machtigingsbeheer' is ingeschakeld voor de opslagplaats.

Afbeelding van machtigingsbeheer.

De machtiging 'Beleidsregels bewerken' moet expliciet (handmatig of via REST API) aan u worden verleend door overname van beveiligingsmachtigingen of via een groepslidmaatschap.

Volgende stappen

Notitie

Deze functies worden de komende twee tot drie weken uitgerold.

Ga naar Azure DevOps en kijk eens.

Ga naar Azure DevOps

Feedback geven

We horen graag wat u van deze functies vindt. Gebruik het Help-menu om een probleem te melden of een suggestie op te geven.

Een suggestie doen

U kunt ook advies krijgen en uw vragen beantwoorden door de community op Stack Overflow.

Met vriendelijke groet,

Gepleiu Andrica