Planowanie sposobu zabezpieczania potoków YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Zalecamy użycie podejścia przyrostowego w celu zabezpieczenia potoków. W idealnym przypadku należy wdrożyć wszystkie oferowane przez nas wskazówki. Ale nie daj się zniechęcić liczbie zaleceń. I nie powstrzymaj się od wprowadzania pewnych ulepszeń tylko dlatego, że nie możesz teraz wprowadzać wszystkich zmian.
Zalecenia dotyczące zabezpieczeń zależą od siebie
Zalecenia dotyczące zabezpieczeń mają złożone współzależności. Stan zabezpieczeń zależy w dużym stopniu od zaleceń, które należy zaimplementować. Wybrane rekomendacje zależą od kwestii związanych z metodykami DevOps i zespołami ds. zabezpieczeń. Zależą one również od zasad i praktyk organizacji.
Możesz zdecydować się na zaostrzenie bezpieczeństwa w jednym krytycznym obszarze i zaakceptowanie mniejszego bezpieczeństwa, ale większą wygodę w innym obszarze.
Jeśli na przykład używasz extends
szablonów , aby wymagać uruchamiania wszystkich kompilacji w kontenerach, może nie być potrzebna oddzielna pula agentów dla każdego projektu.
Rozpoczynanie od prawie pustego szablonu
Dobrym miejscem do rozpoczęcia jest wymuszanie rozszerzenia z niemal pustego szablonu. W ten sposób, gdy zaczniesz stosować praktyki zabezpieczeń, masz scentralizowane miejsce, które już przechwytuje każdy potok.
Aby uzyskać więcej informacji, zobacz Szablony.
Wyłączanie tworzenia potoków klasycznych
Uwaga
Ta funkcja jest dostępna od wersji 2022.1 usługi Azure DevOps Server.
Jeśli tworzysz tylko potoki YAML, wyłącz tworzenie klasycznych potoków kompilacji i wydania. Zapobiega to problemowi z zabezpieczeniami wynikającemu z języka YAML i potoków klasycznych współużytkujących te same zasoby, na przykład tych samych połączeń usługi.
Tworzenie klasycznych potoków kompilacji i klasycznych potoków wydania można wyłączyć niezależnie. Po wyłączeniu obu tych opcji nie można utworzyć klasycznego potoku kompilacji, klasycznego potoku wydania, grup zadań i grup wdrożeń przy użyciu interfejsu użytkownika lub interfejsu API REST.
Tworzenie klasycznych potoków można wyłączyć, włączając dwa przełączanie na poziomie organizacji lub na poziomie projektu. Aby je włączyć, przejdź do ustawień organizacji/projektu, a następnie w sekcji Potoki wybierz pozycję Ustawienia. W sekcji Ogólne włącz opcję Wyłącz tworzenie klasycznych potoków kompilacji i Wyłącz tworzenie klasycznych potoków wydania.
Po włączeniu ich na poziomie organizacji jest on włączony dla wszystkich projektów w tej organizacji. Jeśli je wyłączysz, możesz wybrać, dla których projektów chcesz je włączyć.
Aby zwiększyć bezpieczeństwo nowo utworzonych organizacji, począwszy od przebiegu 226, domyślnie wyłączymy tworzenie klasycznych potoków kompilacji i wydania dla nowych organizacji.
Następne kroki
Po zaplanowaniu podejścia do zabezpieczeń zastanów się, jak repozytoria zapewniają ochronę.