規劃如何保護您的 YAML 管線
Azure DevOps Services |Azure DevOps Server 2022 |Azure DevOps Server 2020
建議您使用累加方法來保護您的管線。 在理想情況下,您會實作我們提供的所有指引。 但不要被建議數目所困擾。 不要因為您現在無法進行所有變更而無法進行 一些 改進。
安全性建議彼此相依
安全性建議具有複雜的相互依存性。 您的安全性狀態取決於您選擇實作哪些建議。 您接著選擇的建議取決於 DevOps 和安全性小組的擔憂。 它們也取決於您組織的原則和做法。
您可以選擇在一個關鍵區域中加強安全性,並接受較少的安全性,但在另一個區域中更方便。
例如,如果您使用 extends
範本 要求所有組建在容器中執行,則您可能不需要 每個專案的個別代理程式集區。
從幾乎空白的範本開始
一個很好的起點是從幾乎空白的範本強制執行延伸。 如此一來,當您開始套用安全性做法時,您有一個已經攔截每個管線的集中式位置。
如需詳細資訊,請參閱 範本。
停用傳統管線的建立
注意
此功能可從 Azure DevOps Server 2022.1 開始提供。
如果您只開發 YAML 管線,請停用建立傳統組建和發行管線。 這樣做可防止來自 YAML 和傳統管線共用相同資源的安全性考慮,例如相同的服務連線。
您可以個別停用建立傳統組建管線和傳統發行管線。 當您停用這兩者時,無法使用使用者介面或 REST API 來建立任何傳統組建管線、傳統發行管線、工作組和部署群組。
您可以藉由在組織層級或專案層級開啟兩個切換來停用建立傳統管線。 若要開啟它們,請流覽至您的組織/項目設定,然後在 [管線] 區段下選擇 [設定]。 在 [一般] 區段中,切換 [停用建立傳統組建管線] 和 [停用建立傳統發行管線]。
當您在組織層級開啟它們時,該組織中的所有專案都會開啟。 如果您將其關閉,您可以選擇要開啟的專案。
若要改善新建立組織的安全性,從 Sprint 226開始,根據預設,我們將停用為新組織建立傳統組建和發行管線。
下一步
規劃安全性方法之後,請考慮存放 庫 如何提供保護。