Поделиться через


Планирование защиты конвейеров YAML

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Рекомендуется использовать добавочный подход для защиты конвейеров. В идеале вы будете реализовывать все рекомендации, которые мы предлагаем. Но не стоит жалеть на количество рекомендаций. И не сдерживайте внесение некоторых улучшений только потому, что вы не можете вносить все изменения прямо сейчас.

Рекомендации по безопасности зависят друг от друга

Рекомендации по обеспечению безопасности имеют сложные взаимозависимости. Уровень безопасности сильно зависит от того, какие рекомендации вы решили реализовать. Рекомендации, которые вы выбираете, в свою очередь, зависят от проблем ваших команд DevOps и безопасности. Они также зависят от политик и практик вашей организации.

Вы можете ужесточить безопасность в одной критической области и принять меньше безопасности, но больше удобства в другой области. Например, если вы используете шаблоны для выполнения extends всех сборок в контейнерах, возможно, вам не потребуется отдельный пул агентов для каждого проекта.

Начало с почти пустого шаблона

Хорошее место для начала заключается в применении расширения из почти пустого шаблона. Таким образом, когда вы начинаете применять методики безопасности, у вас есть централизованное место, которое уже перехватывает каждый конвейер.

Дополнительные сведения см. в статье Шаблоны.

Отключение создания классических конвейеров

Примечание.

Эта функция доступна начиная с Azure DevOps Server 2022.1.

Если вы разрабатываете только конвейеры YAML, отключите создание классических конвейеров сборки и выпуска. Это позволяет предотвратить проблемы безопасности, связанные с YAML и классическими конвейерами, совместно используюющими одни и те же ресурсы, например подключения к службам.

Вы можете отключить создание классических конвейеров сборки и классических конвейеров выпуска независимо. Если отключить оба, классический конвейер сборки, классический конвейер выпуска, группы задач и группы развертывания можно создавать с помощью пользовательского интерфейса или REST API.

Вы можете отключить создание классических конвейеров, включив два переключателя на уровне организации или на уровне проекта. Чтобы включить их, перейдите к параметрам организации или проекта, а затем в разделе "Конвейеры" выберите Параметры. В разделе "Общие" переключение на создание классических конвейеров сборки и отключение создания классических конвейеров выпуска.

Если включить их на уровне организации, она включена для всех проектов в этой организации. Если вы оставьте их отключенным, вы можете выбрать, для каких проектов вы хотите включить их.

Чтобы повысить безопасность вновь созданных организаций, начиная с Sprint 226, по умолчанию мы отключим создание классических конвейеров сборки и выпуска для новых организаций.

Следующие шаги

После планирования подхода к безопасности рассмотрите, как репозитории обеспечивают защиту.