Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Рассмотрите возможность применения добавочного подхода к повышению безопасности конвейеров. Хотя идеальным вариантом было бы следовать всем рекомендациям, не стоит перегружаться их количеством. Начните с некоторых улучшений, даже если вы не можете сразу решить все.
Эта статья является частью серии, которая помогает реализовать меры безопасности для Azure Pipelines. Дополнительные сведения см. в статье "Защита Azure Pipelines".
Предпосылки
| Категория | Требования |
|---|---|
| Azure DevOps | — Реализуйте рекомендации из документов «Обеспечение безопасности Azure DevOps» и «Защита Azure Pipelines». — Базовые знания о YAML и Azure Pipelines. Дополнительные сведения см. в статье "Создание первого конвейера". |
| Разрешения | — Изменение разрешений конвейеров: член группы "Администраторы проектов". — Чтобы изменить разрешения организации, необходимо быть членом группы администраторов коллекции проектов. |
Взаимозависимость безопасности
Рекомендации по безопасности являются взаимозависимыми. Ваша осанка зависит от конкретных рекомендаций, которые вы реализуете, в соответствии с проблемами ваших команд DevOps и безопасности, а также политиками организации.
Рассмотрите возможность приоритета безопасности в критически важных областях при принятии некоторых компромиссов для удобства в других аспектах. Например, если вы используете шаблоны для выполнения extends всех сборок в контейнерах, возможно, вам не потребуется отдельный пул агентов для каждого проекта.
Начало с почти пустого шаблона
Начните с минимального шаблона и постепенно применяйте расширения. Этот подход гарантирует, что при реализации методик безопасности у вас есть централизованная отправная точка, которая охватывает все конвейеры.
Дополнительные сведения см. в разделе "Шаблоны".
Отключение создания классических конвейеров
Примечание.
Эта функция доступна начиная с Azure DevOps Server 2022.1.
Отключите создание классических конвейеров сборки и выпуска, если вы используете исключительно конвейеры YAML. Эта мера предосторожности предотвращает проблему безопасности, связанную с YAML и классическими конвейерами, совместно используя те же ресурсы, такие как подключения к службам.
Независимо отключать создание классических конвейеров сборки и классических конвейеров выпуска. Если оба варианта отключены, пользователи не могут создавать классические конвейеры сборки, классические конвейеры выпуска, группы задач или группы развертывания через пользовательский интерфейс или REST API.
Чтобы отключить создание классических конвейеров, перейдите к параметрам организации или параметрам проекта. В разделе «Конвейеры» выберите «Параметры». В разделе "Общие" включите Отключить создание классических конвейеров сборки и Отключить создание классических конвейеров выпуска.
Если включить эту функцию на уровне организации, она применяется ко всем проектам в этой организации. Однако если вы оставьте его отключенным, вы можете выборочно включить его для конкретных проектов.
Чтобы повысить безопасность вновь созданных организаций, начиная с Sprint 226, параметр по умолчанию отключает создание классических конвейеров сборки и выпуска для новых организаций.