Рекомендации по безопасной структуре проектов в конвейере
Azure DevOps Services | Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г.
Помимо масштаба отдельных ресурсов, следует также рассмотреть группы ресурсов. В Azure DevOps ресурсы группируются по командным проектам. Важно понимать, к каким ресурсам может обращаться конвейер, на основе параметров проекта и автономности.
Каждое задание в конвейере получает маркер доступа. Этот маркер имеет разрешения на чтение открытых ресурсов. В некоторых случаях конвейеры также могут обновлять эти ресурсы. Другими словами, ваша учетная запись пользователя может не иметь доступа к определенному ресурсу, но скрипты и задачи, которые выполняются в конвейере, могут иметь доступ к такому ресурсу. Модель безопасности в Azure DevOps также обеспечивает доступ к этим ресурсам из других проектов в организации. Если вы решили отключить доступ конвейера к некоторым из этих ресурсов, ваше решение применяется ко всем конвейерам в проекте. Определенному конвейеру нельзя предоставить доступ к открытому ресурсу.
Отдельные проекты
Учитывая характер открытых ресурсов, следует рассмотреть возможность управления каждым продуктом и командой в отдельном проекте. Это гарантирует, что конвейер из одного продукта не сможет получить доступ к открытым ресурсам из другого продукта. Таким образом, вы предотвращаете боковое воздействие. Когда несколько команд или продуктов совместно используют один проект, вы не можете детально изолировать их ресурсы друг от друга.
Если ваша организация Azure DevOps была создана до августа 2019 г., запуски могут иметь доступ к открытым ресурсам во всех проектах вашей организации. Администратор организации должен просмотреть параметр безопасности ключа в Azure Pipelines, который обеспечивает изоляцию проекта для конвейеров. Этот параметр можно найти в разделе Параметры организации Azure DevOps>Параметры>конвейеров>. Или перейдите непосредственно в это расположение Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Дальнейшие действия
Настроив правильную структуру проекта, повысьте безопасность среды выполнения с помощью шаблонов.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по