Udostępnij za pośrednictwem


Inne zagadnienia dotyczące zabezpieczeń

Azure DevOps Services | Azure DevOps Server 2022 r. | Azure DevOps Server 2020 r.

Istnieje kilka innych kwestii, które należy wziąć pod uwagę podczas zabezpieczania potoków.

Poleganie na ścieżce

Poleganie na ustawieniu agenta PATH jest niebezpieczne. Może nie wskazywać, gdzie tak się stanie, ponieważ poprzedni skrypt lub narzędzie mogło go zmienić. W przypadku skryptów i plików binarnych o krytycznym znaczeniu dla zabezpieczeń należy zawsze używać w pełni kwalifikowanej ścieżki do programu.

Rejestrowanie wpisów tajnych

Usługa Azure Pipelines próbuje wyczyścić wpisy tajne z dzienników wszędzie tam, gdzie to możliwe. To filtrowanie jest oparte na najlepszym nakładzie pracy i nie może przechwytywać każdego sposobu, w jaki wpisy tajne mogą być wyciekane. Unikaj powtarzania wpisów tajnych w konsoli, używania ich w parametrach wiersza polecenia lub rejestrowania ich w plikach.

Blokowanie kontenerów

Kontenery mają kilka mapowań woluminów dostarczanych przez system w zadaniach, obszarze roboczym i składnikach zewnętrznych wymaganych do komunikowania się z agentem hosta. Można oznaczyć dowolny lub wszystkie te woluminy tylko do odczytu.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

Większość osób powinna oznaczyć pierwsze trzy elementy tylko do odczytu i pozostawić work je jako read-write. Jeśli wiesz, że nie będziesz zapisywać w katalogu służbowym w danym zadaniu lub kroku, przejdź do przodu i zrób work tylko do odczytu. Jeśli masz zadania w potoku, które zmodyfikujesz samodzielnie, może być konieczne pozostawienie tasks odczytu i zapisu.

Kontrolowanie dostępnych zadań

Możesz wyłączyć możliwość instalowania i uruchamiania zadań z witryny Marketplace. Pozwoli to na większą kontrolę nad kodem wykonywanym w potoku. Możesz również wyłączyć wszystkie zadania w polu (z wyjątkiem wyewidencjonowania, która jest specjalną akcją na agencie). W większości przypadków nie zaleca się wyłączania zadań wbudowanych.

Zadania instalowane bezpośrednio z tfx programem są zawsze dostępne. Po włączeniu obu tych funkcji dostępne są tylko te zadania.

Korzystanie z usługi inspekcji

Wiele zdarzeń potoku jest rejestrowanych w usłudze Inspekcja. Okresowo przejrzyj dziennik inspekcji, aby upewnić się, że żadne złośliwe zmiany nie spadły w przeszłości. Odwiedź stronę https://dev.azure.com/ORG-NAME/_settings/audit , aby rozpocząć pracę.

Następne kroki

Wróć do przeglądu i upewnij się, że omówiono każdy artykuł.