Partilhar via

Melhorias na segurança da API REST dos Pipelines do Azure

  • Artigo

Com esta atualização, melhorámos a segurança da API REST dos Pipelines do Azure para pipelines de compilação clássicos. Agora, o âmbito de autorização da tarefa de compilação será o Project, por predefinição, em vez da Coleção de Projetos.

Consulte as notas de versão para obter detalhes.

Pipelines do Azure

Artefactos do Azure

Pipelines do Azure

Suporte do Azure Pipelines para a versão de San Diego do ServiceNow

O Azure Pipelines tem uma integração existente com o ServiceNow. A integração depende de uma aplicação no ServiceNow e de uma extensão no Azure DevOps. Atualizámos a aplicação para trabalhar com a versão de San Diego do ServiceNow. Para garantir que esta integração funciona, atualize para a nova versão da aplicação (4.205.2) a partir da loja ServiceNow.

Para obter mais informações, veja a documentação Integrar com a Gestão de Alterações do ServiceNow.

Melhorias na Segurança da API REST dos Pipelines

A maioria das APIs REST no Azure DevOps utiliza tokens PAT no âmbito. No entanto, alguns deles necessitam de tokens PAT com âmbito completo. Por outras palavras, teria de criar um token PAT ao selecionar "Acesso total" para utilizar algumas destas APIs. Estes tokens representam um risco de segurança, uma vez que podem ser utilizados para chamar qualquer API REST. Temos vindo a fazer melhorias no Azure DevOps para remover a necessidade de tokens de âmbito completo ao incorporar cada API REST num âmbito específico. Como parte deste esforço, a API REST para atualizar as permissões de pipeline para um recurso requer agora um âmbito específico. O âmbito depende do tipo de recurso que está a ser autorizado para utilização:

  • Code (read, write, and manage) para recursos do tipo repository
  • Agent Pools (read, manage) ou Environment (read, manage) para recursos do tipo queue e agentpool
  • Secure Files (read, create, and manage) para recursos do tipo securefile
  • Variable Groups (read, create and manage) para recursos do tipo variablegroup
  • Service Endpoints (read, query and manage) para recursos do tipo endpoint
  • Environment (read, manage) para recursos do tipo environment

Para editar permissões de pipelines em massa, continuará a precisar de um token PAT de âmbito completo. Para saber mais sobre a atualização das permissões do Pipeline para recursos, veja a documentação Permissões do Pipeline – Atualizar Permissões do Pipeline para Recursos .

Utilizar URLs de proxy para integração do GitHub Enterprise

O Azure Pipelines integra-se com Servidores Empresariais do GitHub no local para executar a integração contínua e compilações de PR. Em alguns casos, o GitHub Enterprise Server está protegido por uma firewall e requer que o tráfego seja encaminhado através de um servidor proxy. Para suportar este cenário, as ligações de serviço do GitHub Enterprise Server no Azure DevOps permitem-lhe configurar um URL de proxy. Anteriormente, nem todo o tráfego do Azure DevOps estava a ser encaminhado através deste URL de proxy. Com esta atualização, estamos a garantir que encaminhamos o seguinte tráfego dos Pipelines do Azure para percorrer o URL do proxy:

  • Obter ramos
  • Obter informações do pedido Pull
  • Estado da compilação de relatórios

Melhorias nas compilações agendadas

Corrigimos um problema que fazia com que as informações de agendamento de um pipeline ficassem danificadas e o pipeline não carregasse. Isto foi causado, por exemplo, quando o nome do ramo excedeu um determinado número de carateres.

Anúncio da descontinuação da imagem do Windows 2016

O Azure Pipelines está a remover a imagem do Windows 2016 (vs2017-win2016) dos nossos conjuntos alojados no dia 31 de julho. Para saber mais sobre como identificar pipelines com imagens preteridas, incluindo o Windows 2016, consulte a nossa publicação de blogue Hosted Pipelines Image Deprecation.

Anúncio de preterição de imagens do macOS 10.15 Catalina (atualizada)

O Azure Pipelines está a preterir imagens do macOS 10.15 Catalina (macOS-1015) nos nossos conjuntos alojados. Esta imagem será descontinuada a 30 de setembro. Poderá começar a ver tempos de fila mais longos.

Para o ajudar a identificar melhor quais os pipelines que estão a utilizar a imagem do macOS-1015, estamos a planear brownouts. As tarefas falharão durante um período de brownout.

  • As mensagens de aviso são apresentadas em execuções de pipeline com a imagem macOS-1015
  • Está disponível um script para o ajudar a encontrar pipelines com imagens preteridas, incluindo o macOS-1015
  • Estamos a agendar "brownouts" curtos. Todas as execuções do macOS-1015 falharão durante o período de brownout. Por conseguinte, recomenda-se migrar os pipelines antes dos brownouts.

Agenda do Brownout (atualizado)

  • 7 de outubro, 10:00 UTC - 7 de outubro, 16:00 UTC
  • 14 de outubro, 12:00 UTC - 14 de outubro, 18:00 UTC
  • 21 de outubro, 14:00 UTC - 21 de outubro, 20:00 UTC
  • 28 de outubro, 16:00 UTC - 28 de outubro, 22:00 UTC
  • 4 de novembro, 22:00 UTC - 5 de novembro, 04:00 UTC
  • 11 de novembro, 04:00 UTC - 11 de novembro, 10:00 UTC
  • 18 de novembro, 06:00 UTC - 18 de novembro, 12:00 UTC
  • 25 de novembro, 08:00 UTC - 25 de novembro, 14:00 UTC

Atualizações para o evento "Run stage state changed" service hook

Os service hooks permitem-lhe executar tarefas noutros serviços quando ocorrem eventos no seu projeto no Azure DevOps, o estado da fase Executar alterado é um destes eventos. O evento alterado do estado da fase de execução tem de conter informações sobre a execução, incluindo o nome do pipeline e o estado da execução geral. Anteriormente, só incluía informações sobre o ID e o nome da execução. Com esta atualização, fizemos alterações ao evento para incluir informações em falta.

Alterar o âmbito predefinido dos tokens de acesso em pipelines de compilação clássicos

Para melhorar a segurança dos pipelines de compilação clássicos, ao criar um novo, o âmbito de autorização da tarefa de compilação será o Project, por predefinição. Até agora, era Coleção de Projetos. Leia mais sobre os tokens de acesso a tarefas. Esta alteração não afeta nenhum dos pipelines existentes. Só afeta os novos pipelines de compilação clássicos que criar a partir deste ponto.

Artefactos do Azure

Permissões de feed predefinidas atualizadas

As contas do Serviço de Compilação da Coleção de Projetos terão agora a função Colaborador por predefinição quando for criado um novo feed de Artefactos do Azure no âmbito da organização, em vez da função contribuidor atual.

Passos seguintes

Nota

Estas funcionalidades serão implementadas nas próximas duas a três semanas.

Aceda ao Azure DevOps e dê uma vista de olhos.

Aceda ao Azure DevOps

Como fornecer comentários

Gostaríamos de ouvir o que pensa sobre estas funcionalidades. Utilize o menu de ajuda para comunicar um problema ou fornecer uma sugestão.

Fazer uma sugestão

Também pode obter conselhos e as suas perguntas respondidas pela comunidade no Stack Overflow.

Obrigado,

Vijay Machiraju