Altre considerazioni sulla sicurezza

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Quando si proteggono le pipeline, è necessario prendere in considerazione alcune altre cose.

Affidarsi a PATH

Affidarsi all'impostazione dell'agente PATH è pericoloso. Potrebbe non essere il punto in cui si ritiene che lo faccia, poiché uno script o uno strumento precedente potrebbe averlo modificato. Per gli script e i file binari critici per la sicurezza, usare sempre un percorso completo per il programma.

Registrazione dei segreti

Azure Pipelines tenta di pulire i segreti dai log laddove possibile. Questo filtro è su base ottimale e non può intercettare ogni modo in cui i segreti possono essere persi. Evitare l'eco dei segreti nella console, usandoli nei parametri della riga di comando o registrandoli nei file.

Bloccare i contenitori

I contenitori hanno alcuni mapping dei montaggi di volume forniti dal sistema nelle attività, nell'area di lavoro e nei componenti esterni necessari per comunicare con l'agente host. È possibile contrassegnare uno o tutti questi volumi di sola lettura.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

La maggior parte delle persone deve contrassegnare i primi tre elementi di sola lettura e lasciare work in lettura/scrittura. Se si sa che non si scriverà nella directory di lavoro in un determinato processo o passaggio, procedere e rendere work di sola lettura. Se si dispone di attività nella pipeline, che vengono modificate automaticamente, potrebbe essere necessario lasciare tasks lettura/scrittura.

Controllare le attività disponibili

È possibile disabilitare la possibilità di installare ed eseguire attività dal Marketplace. Ciò consentirà un maggiore controllo sul codice eseguito in una pipeline. È anche possibile disabilitare tutte le attività incluse nella casella ,ad eccezione di Checkout, che è un'azione speciale per l'agente. È consigliabile non disabilitare le attività predefinite nella maggior parte dei casi.

Le attività installate direttamente con tfx sono sempre disponibili. Con entrambe queste funzionalità abilitate, sono disponibili solo queste attività.

Usare il servizio di controllo

Nel servizio di controllo vengono registrati molti eventi della pipeline. Esaminare periodicamente il log di controllo per assicurarsi che non siano state apportate modifiche dannose passate. Visita https://dev.azure.com/ORG-NAME/_settings/audit per iniziare.

Passaggi successivi

Tornare alla panoramica e assicurarsi di aver trattato ogni articolo.