Прочие вопросы по безопасности
Azure DevOps Services | Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г.
При защите конвейеров следует учитывать несколько других аспектов.
Использование PATH
Полагаться на параметры агента PATH
опасно.
Это может не указывать на то, где, по вашему мнению, это происходит, так как предыдущий скрипт или инструмент мог изменить его.
Для критически важных для безопасности скриптов и двоичных файлов всегда используйте полный путь к программе.
Ведение журнала секретов
Azure Pipelines пытается по возможности удалять секреты из журналов. Эта фильтрация выполняется на основе наилучших усилий и не может перехватывать все способы утечки секретов. Избегайте отправки секретов в консоль, их использования в параметрах командной строки или их записи в файлы.
Блокировка контейнеров
Контейнеры имеют несколько системных сопоставлений томов в задачах, рабочей области и внешних компонентах, необходимых для взаимодействия с агентом узла. Вы можете пометить любой или все эти тома только для чтения.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
Большинство людей должны пометить первые три варианта только для чтения и оставить work
как чтение и запись.
Если вы знаете, что не будете выполнять запись в рабочий каталог в заданном задании или шаге, сделайте work
также доступ только для чтения.
Если в конвейере есть задачи, которые самостоятельно изменяются, может потребоваться оставить tasks
чтение и запись.
Управление доступными задачами
Вы можете отключить возможность установки и выполнения задач из Marketplace. Это позволит вам получить больший контроль над кодом, который выполняется в конвейере. Вы также можете отключить все встроенные задачи (за исключением оформления заказа, которое является специальным действием для агента). Не рекомендуется отключать встроенные задачи в большинстве случаев.
Задачи, устанавливаемые непосредственно с , tfx
всегда доступны.
Если обе эти функции включены, доступны только эти задачи.
Использование службы аудита
Многие события конвейера записываются в службу аудита.
Периодически просматривайте журнал аудита, чтобы убедиться в отсутствии вредоносных изменений.
Посетите страницу https://dev.azure.com/ORG-NAME/_settings/audit
, чтобы приступить к работе.
Дальнейшие действия
Вернитесь к обзору и убедитесь, что вы рассмотрели каждую статью.