Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022 | Azure DevOps Server 2020
Рассмотрите возможность применения добавочного подхода к повышению безопасности конвейеров. Хотя это идеально подходит для реализации всех рекомендаций, которые мы предоставляем, не перегружены количеством рекомендаций. Начните с некоторых улучшений, даже если вы не можете сразу решить все.
Эта статья является частью серии, которая помогает реализовать меры безопасности для Azure Pipelines. Дополнительные сведения см. в статье "Защита Azure Pipelines".
Предпосылки
| Категория | Требования |
|---|---|
| Azure DevOps | — Реализуйте рекомендации из документов «Обеспечение безопасности Azure DevOps» и «Защита Azure Pipelines». — Базовые знания о YAML и Azure Pipelines. Дополнительные сведения см. в статье "Создание первого конвейера". |
| Разрешения | — Изменение разрешений конвейеров: член группы "Администраторы проектов". — Чтобы изменить разрешения организации, необходимо быть членом группы администраторов коллекции проектов. |
Взаимозависимость безопасности
Рекомендации по безопасности являются взаимозависимыми. Ваше состояние зависит от конкретных рекомендаций, которые вы реализуете, в свою очередь, в соответствии с проблемами DevOps и группами безопасности и политиками организации.
Рассмотрите возможность приоритета безопасности в критически важных областях при принятии некоторых компромиссов для удобства в других аспектах. Например, если вы используете шаблоны для выполнения extends всех сборок в контейнерах, возможно, вам не потребуется отдельный пул агентов для каждого проекта.
Начало с почти пустого шаблона
Начните с минимального шаблона и постепенно применяйте расширения. Этот подход гарантирует, что при реализации методик безопасности у вас есть централизованная отправная точка, которая охватывает все конвейеры.
Дополнительные сведения см. в разделе "Шаблоны".
Отключение создания классических конвейеров
Примечание.
Эта функция доступна начиная с Azure DevOps Server 2022.1.
Отключите создание классических конвейеров сборки и выпуска, если вы используете исключительно конвейеры YAML. Эта мера предосторожности предотвращает проблему безопасности, связанную с YAML и классическими конвейерами, совместно используя те же ресурсы, такие как подключения к службам.
Независимо отключать создание классических конвейеров сборки и классических конвейеров выпуска. При отключении классического конвейера сборки, классического конвейера выпуска, групп задач или групп развертывания можно создавать с помощью пользовательского интерфейса или REST API.
Чтобы отключить создание классических конвейеров, перейдите к параметрам организации или параметрам проекта, а затем в разделе "Конвейеры " выберите "Параметры". В разделе "Общие" включите Отключить создание классических конвейеров сборки и Отключить создание классических конвейеров выпуска.
Если включить эту функцию на уровне организации, она применяется ко всем проектам в этой организации. Однако если вы оставьте его отключенным, вы можете выборочно включить его для конкретных проектов.
Чтобы повысить безопасность вновь созданных организаций, начиная с Sprint 226, по умолчанию мы отключаем создание классических конвейеров сборки и выпуска для новых организаций.