其他安全性考量
Azure DevOps Services |Azure DevOps Server 2022 |Azure DevOps Server 2020
保護管線時,您應該考慮幾個其他事項。
依賴 PATH
依賴代理程式的 PATH
設定是危險的。
它可能不會指向您認為它的位置,因為先前的腳本或工具可能會改變它。
針對安全性關鍵腳本和二進位檔,請一律使用程式的完整路徑。
記錄秘密
Azure Pipelines 會盡可能嘗試清除記錄中的秘密。 此篩選是以最佳方式為基礎,而且無法攔截秘密可以外泄的每個方式。 避免對主控台回應秘密、在命令列參數中使用秘密,或將它們記錄到檔案。
鎖定容器
容器在工作、工作區和外部元件中,有一些系統提供的磁片區掛接對應,需要與主機代理程式通訊。 您可以標示上述任何或所有磁片區唯讀。
resources:
containers:
- container: example
image: ubuntu:22.04
mountReadOnly:
externals: true
tasks: true
tools: true
work: false # the default; shown here for completeness
大部分的人都應該將前三個唯讀 work
標示為讀寫。
如果您知道您不會在指定的作業或步驟中寫入工作目錄,請繼續進行 work
唯讀。
如果您的管線中有可自行修改的工作,您可能需要保留 tasks
讀寫。
控制可用的工作
您可以停用從 Marketplace 安裝及執行工作的能力。 這可讓您更充分地控制管線中執行的程式碼。 除了簽出以外,您也可以停用所有現成工作 (,這是代理程式) 的特殊動作。 在大部分情況下,建議您不要停用現用的工作。
直接安裝的工作 tfx
一律可供使用。
啟用這兩項功能後, 只有 這些工作可供使用。
使用稽核服務
稽核服務中會記錄許多管線事件。
定期檢閱稽核記錄,以確保不會有任何惡意變更逾期。
請造訪 https://dev.azure.com/ORG-NAME/_settings/audit
以開始使用。
下一步
返回 概觀 ,並確定您已涵蓋每個文章。