Recomendações para estruturar projetos de forma segura no pipeline
Serviços do Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020
Para além da escala de recursos individuais, também deve considerar grupos de recursos. No Azure DevOps, os recursos são agrupados por projetos de equipa. É importante compreender que recursos o pipeline pode aceder com base nas definições e na contenção do projeto.
Todas as tarefas no pipeline recebem um token de acesso. Este token tem permissões para ler recursos abertos. Em alguns casos, os pipelines também podem atualizar esses recursos. Por outras palavras, a sua conta de utilizador pode não ter acesso a um determinado recurso, mas os scripts e tarefas que são executados no pipeline podem ter acesso a esse recurso. O modelo de segurança no Azure DevOps também permite o acesso a estes recursos a partir de outros projetos na organização. Se optar por encerrar o acesso ao pipeline para alguns destes recursos, a sua decisão aplica-se a todos os pipelines num projeto. Não é possível conceder acesso a um pipeline específico a um recurso aberto.
Separar projetos
Dada a natureza dos recursos abertos, deve considerar gerir cada produto e equipa num projeto separado. Esta prática garante que um pipeline de um produto não consegue aceder a recursos abertos a partir de outro produto. Desta forma, impede a exposição lateral. Quando várias equipas ou produtos partilham um projeto, não pode isolar granularmente os respetivos recursos uns dos outros.
Se a sua organização do Azure DevOps tiver sido criada antes de agosto de 2019, as execuções poderão aceder a recursos abertos em todos os projetos da sua organização. O administrador da sua organização tem de rever uma definição de segurança chave nos Pipelines do Azure que permita o isolamento do projeto para pipelines. Pode encontrar esta definição emDefinições> dePipelines> daOrganizaçãodo Azure DevOps>. Em alternativa, aceda diretamente a esta localização do Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Passos seguintes
Depois de configurar a estrutura de projeto correta, melhore a segurança do runtime com os modelos.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários