Rekommendationer för att på ett säkert sätt strukturera projekt i din pipeline

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Utöver skalan för enskilda resurser bör du också överväga grupper av resurser. I Azure DevOps grupperas resurser efter teamprojekt. Det är viktigt att förstå vilka resurser din pipeline kan komma åt baserat på projektinställningar och inneslutning.

Varje jobb i pipelinen tar emot en åtkomsttoken. Den här token har behörighet att läsa öppna resurser. I vissa fall kan pipelines också uppdatera dessa resurser. Med andra ord kanske ditt användarkonto inte har åtkomst till en viss resurs, men skript och uppgifter som körs i din pipeline kan ha åtkomst till den resursen. Säkerhetsmodellen i Azure DevOps ger också åtkomst till dessa resurser från andra projekt i organisationen. Om du väljer att stänga av pipelineåtkomsten till vissa av dessa resurser gäller ditt beslut för alla pipelines i ett projekt. En specifik pipeline kan inte beviljas åtkomst till en öppen resurs.

Avgränsa projekt

Med tanke på typen av öppna resurser bör du överväga att hantera varje produkt och team i ett separat projekt. Den här metoden säkerställer att en pipeline från en produkt inte kan komma åt öppna resurser från en annan produkt. På så sätt förhindrar du lateral exponering. När flera team eller produkter delar ett projekt kan du inte i detalj isolera deras resurser från varandra.

Om din Azure DevOps-organisation skapades före augusti 2019 kan körningar komma åt öppna resurser i alla organisationens projekt. Organisationsadministratören måste granska en viktig säkerhetsinställning i Azure Pipelines som möjliggör projektisolering för pipelines. Du hittar den här inställningen i Inställningar förPipelines> i Azure DevOps>Organisation>. Eller gå direkt till den här Azure DevOps-platsen: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.

Nästa steg

När du har konfigurerat rätt projektstruktur kan du förbättra körningssäkerheten med hjälp av mallar.