Andra säkerhetsöverväganden
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Det finns några andra saker du bör tänka på när du skyddar pipelines.
Förlita dig på PATH
Det är farligt att förlita sig på agentens PATH inställning.
Det kanske inte pekar på var du tror att det gör det, eftersom ett tidigare skript eller verktyg kunde ha ändrat det.
För säkerhetskritiska skript och binärfiler använder du alltid en fullständigt kvalificerad sökväg till programmet.
Loggning av hemligheter
Azure Pipelines försöker rensa hemligheter från loggar där det är möjligt. Den här filtreringen är på bästa sätt och kan inte fånga alla sätt som hemligheter kan läckas. Undvik att upprepa hemligheter för konsolen, använda dem i kommandoradsparametrar eller logga dem till filer.
Låsa containrar
Containrar har några volymmonteringsmappningar som tillhandahålls av systemet i de uppgifter, den arbetsyta och de externa komponenter som krävs för att kommunicera med värdagenten. Du kan markera alla eller alla dessa volymer som skrivskyddade.
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
De flesta bör markera de tre första skrivskyddade och lämna work som skrivskyddade.
Om du vet att du inte kommer att skriva till arbetskatalogen i ett visst jobb eller steg kan du även göra work skrivskyddat.
Om du har uppgifter i pipelinen, som du själv ändrar, kan du behöva lämna tasks skrivskyddat.
Kontrollera tillgängliga uppgifter
Du kan inaktivera möjligheten att installera och köra uppgifter från Marketplace. På så sätt får du större kontroll över koden som körs i en pipeline. Du kan också inaktivera alla in-the-box-uppgifter (förutom kassan, vilket är en särskild åtgärd för agenten). Vi rekommenderar att du inte inaktiverar in-the-box-uppgifter under de flesta omständigheter.
Uppgifter som installeras direkt med tfx är alltid tillgängliga.
När båda dessa funktioner är aktiverade är endast dessa uppgifter tillgängliga.
Använda granskningstjänsten
Många pipelinehändelser registreras i granskningstjänsten.
Granska granskningsloggen regelbundet för att se till att inga skadliga ändringar har halkat förbi.
Besök https://dev.azure.com/ORG-NAME/_settings/audit för att komma igång.
Nästa steg
Gå tillbaka till översikten och kontrollera att du har gått igenom alla artiklar.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för