Planejar a proteção de pipelines YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Recomendamos que você use uma abordagem incremental para proteger seus pipelines. O ideal é implementar todas as diretrizes que oferecemos. Mas não se assuste com o número de recomendações. E não deixe de fazer algumas melhorias apenas porque você não pode fazer todas as alterações neste momento.
As recomendações de segurança dependem umas das outras
As recomendações de segurança têm interdependências complexas. Sua postura de segurança depende muito de quais recomendações você escolhe implementar. As recomendações escolhidas, por sua vez, dependem das preocupações das suas equipes de segurança e DevOps. Elas também dependem das políticas e práticas da sua organização.
Você pode optar por reforçar a segurança em uma área crítica e aceitar menos segurança, mas mais conveniência em outra área.
Por exemplo, se você usar modelos extends
para exigir que todos os builds sejam executados em contêineres, talvez você não precise de um pool de agentes separado para cada projeto.
Comece com um modelo quase vazio
Um bom lugar para começar é impor a extensão de um modelo quase vazio. Dessa forma, à medida que você começa a aplicar as práticas de segurança, você tem um local centralizado que já captura todos os pipelines.
Para saber mais, veja Modelos.
Desabilitar a criação de pipelines clássicos
Observação
Esse recurso está disponível a partir do Azure DevOps Server 2022.1.
Se você desenvolve apenas pipelines YAML, desabilite a criação de pipelines clássicos de build e lançamento. Isso evita uma preocupação de segurança proveniente do YAML e dos pipelines clássicos que compartilham os mesmos recursos, por exemplo, as mesmas conexões de serviço.
Você pode desabilitar a criação de pipelines de compilação clássicos e pipelines de versão clássicos de forma independente. Quando você desabilitar ambos, nenhum pipeline de compilação clássico, pipeline de versão clássico, grupos de tarefas e grupos de implantação podem ser criados usando a interface do usuário ou a API REST.
Você pode desabilitar a criação de pipelines clássicos ativando duas alternâncias no nível da organização ou do projeto. Para ativá-los, navegue até suas Configurações de Organização/Projetoe, na seção Pipelines, escolha Configurações. Na seção Geral, alterne Desabilitar a criação de pipelines de compilação clássicos e Desabilitar a criação de pipelines de lançamento clássicos.
Quando você os ativa no nível da organização, eles são ativados em todos os projetos nessa organização. Se você deixá-los desativados, poderá escolher para quais projetos quer ativá-los.
Para aprimorar a segurança das organizações recém-criadas, começando com a Sprint 226, por padrão, desabilitaremos a criação de pipelines clássicos de build e de lançamento para novas organizações.
Próximas etapas
Depois de planejar sua abordagem de segurança, considere como seus repositórios fornecem proteção.