Partilhar via

Verificações de políticas dos Artefactos

  • Artigo

Azure DevOps Services

As políticas de artefactos são impostas antes de serem implementadas em ambientes críticos, como a produção. Estas políticas são avaliadas em relação a todos os artefactos implementáveis na execução do pipeline especificado e bloqueiam a implementação se os artefactos não cumprirem. Adicionar uma verificação para avaliar o Artefacto requer que a política personalizada seja configurada. Este guia descreve como as políticas personalizadas podem ser criadas.

Nota

Atualmente, os tipos de artefacto suportados destinam-se a imagens de contentor e ambientes do Kubernetes

Pré-requisitos

Utilize o Rego para definir uma política fácil de ler e escrever.

Familiarize-se com a linguagem de consulta Rego . As noções básicas servem.

Para suportar modelos de documentos estruturados como JSON, o Rego expande o Datalog. As consultas rego são asserções em dados armazenados no OPA. Estas consultas podem ser utilizadas para definir políticas que enumeram instâncias de dados que violam o estado esperado do sistema.

Criar políticas personalizadas

Seguem-se as políticas de exemplo partilhadas. Com base nos seus requisitos, pode criar o seu próprio conjunto de políticas.

Verificar projeto/pipeline específico

Esta política verifica se as imagens são criadas pelos Pipelines do Azure e pelo Pipeline-foo. Para que isto funcione, a definição do pipeline deve substituir o campo de nome para algo como: AzureDevOps_$(BuildDefinitionName)_$(Date:yyyyMmdd)$(Rev:.r). Veja mais sobre as execuções de pipelines de nomenclatura aqui.

allowedBuilder := "AzureDevOps_pipeline-foo"

checkBuilder[errors] {
    trace("Check if images are built by Azure Pipelines")
    resourceUri := values[index].build.resourceUri    
    image := fetchImage(resourceUri)
    builder := values[index].build.build.provenance.builderVersion
    trace(sprintf("%s: builder", [builder]))
    not startswith(builder, "allowedBuilder")
    errors := sprintf("%s: image not built by Azure Pipeline [%s]", [image,builder])
}

fetchRegistry(uri) = reg {
    out := regex.find_n("//.*/", uri, 1)
    reg = trim(out[0], "/")
}

fetchImage(uri) = img {
    out := regex.find_n("/.*@", uri, 1)
    img := trim(out[0], "/@")
}

Verificar registos permitidos

Esta política verifica se as imagens são apenas de registos permitidos.

allowlist = {
 "gcr.io/myrepo",
 "raireg1.azurecr.io"
}

checkregistries[errors] {
    trace(sprintf("Allowed registries: %s", [concat(", ", allowlist)]))
    resourceUri := values[index].image.resourceUri
    registry := fetchRegistry(resourceUri)
    image := fetchImage(resourceUri)
    not allowlist[registry]
    errors := sprintf("%s: source registry not permitted", [image]) 
}

fetchRegistry(uri) = reg {
    out := regex.find_n("//.*/", uri, 1)
    reg = trim(out[0], "/")
}

fetchImage(uri) = img {
    out := regex.find_n("/.*@", uri, 1)
    img := trim(out[0], "/@")
}

Verificar portas proibidas

Esta política verifica se existem portas proibidas expostas na imagem do contentor.

forbiddenPorts = {
    "80",
    "22"
}

checkExposedPorts[errors] {
    trace(sprintf("Checking for forbidden exposed ports: %s", [concat(", ", forbiddenPorts)]))
    layerInfos := values[index].image.image.layerInfo
    layerInfos[x].directive == "EXPOSE"
    resourceUri := values[index].image.resourceUri
    image := fetchImage(resourceUri)
    ports := layerInfos[x].arguments
    trace(sprintf("exposed ports: %s", [ports]))
    forbiddenPorts[ports]
    errors := sprintf("%s: image exposes forbidden port %s", [image,ports])
}

fetchRegistry(uri) = reg {
    out := regex.find_n("//.*/", uri, 1)
    reg = trim(out[0], "/")
}

fetchImage(uri) = img {
    out := regex.find_n("/.*@", uri, 1)
    img := trim(out[0], "/@")
}

Verificar implementações anteriores

Esta política verifica se a imagem foi pré-implementada num/mais dos ambientes antes de ser implementada em ambientes/recursos específicos com a opção Verificar configurada.

predeployedEnvironments = {
    "env/resource1",
    "env2/resource3"
}

checkDeployedEnvironments[errors] {
    trace(sprintf("Checking if the image has been pre-deployed to one of: [%s]", [concat(", ", predeployedEnvironments)]))
    deployments := values[index].deployment
    deployedAddress := deployments[i].deployment.address
    trace(sprintf("deployed to : %s",[deployedAddress]))
    resourceUri := deployments[i].resourceUri
    image := fetchImage(resourceUri)
    not predeployedEnvironments[deployedAddress]
    trace(sprintf("%s: fails pre-deployed environment condition. found %s", [image,deployedAddress]))
    errors := sprintf("image %s fails pre-deployed environment condition. found %s", [image,deployedAddress])
}

fetchRegistry(uri) = reg {
    out := regex.find_n("//.*/", uri, 1)
    reg = trim(out[0], "/")
}

fetchImage(uri) = img {
    out := regex.find_n("/.*@", uri, 1)
    img := trim(out[0], "/@")
}