Pianifica come proteggere le pipeline YAML

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

È consigliabile usare un approccio incrementale per proteggere le pipeline. Idealmente, è consigliabile implementare tutte le linee guida offerte. Ma non essere scoraggiato dal numero di raccomandazioni. E non tenere premuto alcuni miglioramenti solo perché non è possibile apportare tutte le modifiche in questo momento.

Le raccomandazioni sulla sicurezza dipendono l'una dall'altra

Le raccomandazioni sulla sicurezza hanno interdipendenze complesse. Il comportamento di sicurezza dipende in modo pesante dalle raccomandazioni che si sceglie di implementare. Le raccomandazioni scelte, a sua volta, dipendono dalle preoccupazioni dei team devOps e della sicurezza. Dipendono anche dai criteri e dalle procedure dell'organizzazione.

È possibile scegliere di rafforzare la sicurezza in un'area critica e accettare meno sicurezza, ma più praticità in un'altra area. Ad esempio, se si usano extends modelli per richiedere l'esecuzione di tutte le compilazioni nei contenitori, potrebbe non essere necessario un pool di agenti separato per ogni progetto.

Iniziare con un modello quasi vuoto

Un buon punto di partenza consiste nell'applicare l'estensione da un modello quasi vuoto. In questo modo, quando si inizia a applicare le procedure di sicurezza, è disponibile una posizione centralizzata che intercetta già ogni pipeline.

Per altre informazioni, vedere Modelli.

Disabilitare la creazione di pipeline classiche

Nota

Questa funzionalità è disponibile a partire da Azure DevOps Server 2022.1.

Se si sviluppano solo pipeline YAML, disabilitare la creazione di pipeline di compilazione e versione classiche. In questo modo si evita un problema di sicurezza che deriva da YAML e pipeline classiche che condividono le stesse risorse, ad esempio le stesse connessioni al servizio.

È possibile disabilitare la creazione di pipeline di compilazione classiche e pipeline di versione classica in modo indipendente. Quando si disabilitano entrambi, non è possibile creare pipeline di compilazione classica, pipeline di versione classica, gruppi di attività e gruppi di distribuzione usando l'interfaccia utente o l'API REST.

È possibile disabilitare la creazione di pipeline classiche attivando due interruttori a livello di organizzazione o di progetto. Per attivarli, passare alle impostazioni organizzazione/progetto, quindi nella sezione Pipeline scegliere Impostazioni. Nella sezione Generale attivare o disattivare la creazione di pipeline di compilazione classiche e Disabilitare la creazione di pipeline di versione classiche.

Quando le si attivano a livello di organizzazione, è attiva per tutti i progetti dell'organizzazione. Se si lasciano disattivati, è possibile scegliere per quali progetti si desidera attivarli.

Per migliorare la sicurezza delle organizzazioni appena create, a partire da Sprint 226, per impostazione predefinita si disabilita la creazione di pipeline di compilazione e rilascio classiche per le nuove organizzazioni.

Passaggi successivi

Dopo aver pianificato l'approccio alla sicurezza, prendere in considerazione il modo in cui i repository forniscono la protezione.