Segurança aprimorada e eficiência do fluxo de trabalho

  • Artigo

Este sprint traz várias melhorias focadas em aumentar a segurança e simplificar a eficiência do fluxo de trabalho. Entre essas melhorias, a Experiência de Criação de Conexão de Serviço no Azure Pipelines. Isso permite que as equipes configurem conexões de serviço utilizando identidades gerenciadas existentes com federação de identidade de carga de trabalho. Ele também simplifica a configuração e reduz o risco de identidades com privilégios excessivos.

Além disso, temos o prazer de anunciar que, no Azure Repos, os arquivos markdown com sintaxe de sereia agora serão renderizados como diagramas em visualizações de arquivos e solicitações de pull, fornecendo visuais mais claros para sua documentação.

Por fim, no GitHub Advanced Security, as anotações de solicitação de pull agora fornecem notificações em linha para dependência e verificação de código, simplificando o processo para as equipes detectarem e resolverem possíveis problemas durante as revisões de código.

Confira as notas sobre a versão para obter detalhes.

Geral

GitHub Advanced Security para Azure DevOps

Azure Boards:

Azure Repos

Azure Pipelines

Wiki

Geral

Copiar bloco de código para a área de transferência

Em resposta aos seus comentários na comunidade de desenvolvedores, introduzimos um botão "Copiar para a área de transferência" para todos os blocos de código no markdown renderizado. Esse aprimoramento está disponível em páginas Wiki, visualizações de arquivo markdown em repositórios, discussões e descrições de solicitação de pull e discussões de item de trabalho.

Captura de tela da cópia para a área de transferência.

Informações de perfil do Microsoft Entra (versão prévia)

Temos o prazer de apresentar a integração das informações de perfil do Microsoft Entra no Azure DevOps, eliminando a necessidade de atualizações de perfil separadas. Para experimentar a versão prévia, habilite as informações de perfil do Microsoft Entra em Recursos de Visualização.

Captura de tela de ativar as informações do perfil do Microsoft Entra.

Depois de habilitadas, as configurações do seu perfil são somente leitura e preenchidas automaticamente no Microsoft Entra. Para reverter para as configurações anteriores ou fornecer feedback, desative a visualização e compartilhe seus comentários.

GitHub Advanced Security para Azure DevOps

Anotações de solicitação de pull para dependência e varredura de código

Como parte do roteiro de Segurança Avançada, as anotações de solicitação de pull agora estão disponíveis. Você receberá anotações embutidas em todas as solicitações de pull que usam um pipeline associado à sua política de validação de build, que inclui tarefas de dependência e/ou verificação de código.

Nenhuma aceitação adicional é necessária além da criação de uma política de validação de build para as ramificações relevantes.

Clicar Show more details em na anotação leva você à exibição de detalhes do alerta em questão.

Captura de tela de Clicando em Mostrar mais detalhes.

Para obter mais informações, consulte nossa última postagem no blog aqui

Nova estratégia de detecção de pip para verificação de dependência

A verificação de dependência agora usa uma nova estratégia de detecção para Python: PipReport, com base na funcionalidade de relatório de instalação do pip. Essa atualização melhora a precisão respeitando os especificadores de ambiente para determinar as versões exatas que uma execução real pip install recuperaria. Por padrão, o detector usa pypi.org para criar o gráfico de dependência. Opcionalmente, você pode definir uma variável PIP_INDEX_URL de ambiente de pipeline para construir o grafo de dependência. Se houver problemas de autenticação ao acessar seu feed, talvez seja necessário configurar a tarefa de PipAuthenticate@1 pipeline para que seu feed possa ser acessado.

Para obter mais informações sobre a estratégia de detecção, consulte a documentação do Pip Detection .

Azure Boards

Gerenciamento de marcas aprimorado no formulário de item de trabalho

O gerenciamento de marcas no Azure Boards foi aprimorado para fornecer uma experiência mais simplificada. As marcas excluídas não aparecem mais na lista sugerida em formulários de item de trabalho, garantindo que apenas as marcas ativas sejam exibidas.

Suporte de imagem aprimorado em comentários de item de trabalho

Melhoramos nosso suporte para colar imagens em comentários de item de trabalho. Agora você pode colar imagens diretamente de fontes como Microsoft Teams, emails e documentos do Word na seção de discussão de um item de trabalho

Insights de solicitação de pull do GitHub

Aprimoramos a integração entre as solicitações de pull do GitHub e o Azure Boards. Além de mostrar os status aberto e fechado, agora você pode ver se uma solicitação de pull está no modo de rascunho, precisa de revisão e verifica o status. Tudo sem a necessidade de abrir a solicitação de pull.

Gif para demonstração aprimorado GitHub pull request insights.

Para habilitar esse recurso, acesse o aplicativo Boards no GitHub para aceitar as permissões atualizadas solicitadas para acesso de leitura e gravação a Verificações.

SScreenshot de permissões atualizadas.

Azure Repos

Configurar branches de destino para solicitações de pull

Gerenciar várias ramificações em um repositório pode ser um desafio, especialmente ao criar novas solicitações de pull. Com o novo recurso Configurar Branches de Destino para Solicitações de Pull, agora você pode especificar uma lista de branches de destino preferenciais, garantindo que as sugestões de solicitação de pull sejam mais precisas e relevantes. Isso ajuda a simplificar seu fluxo de trabalho e reduz as chances de segmentar a ramificação errada. Para usar esse recurso, crie um .azuredevops/pull_request_targets.yml arquivo no branch padrão do repositório. Esse arquivo YAML deve conter uma lista intitulada pull_request_targets com os nomes ou prefixos de ramificação que correspondem às ramificações candidatas. Por exemplo:

pull_request_targets:
  - main
  - release/*
  - feature/*

Nessa configuração, a ramificação principal é priorizada, mas as ramificações que começam com release/ ou feature/ também serão consideradas quando apropriado. A configuração é aplicada nos seguintes cenários:

  • Sugestões de solicitação de pull: depois de enviar um branch para o Azure DevOps, a página Repos pode sugerir a criação de uma solicitação de pull desse branch, escolhendo dinamicamente o branch de destino.
  • URL da solicitação de pull: ao navegar diretamente para a página de criação da solicitação de pull usando um parâmetro sourceRef, mas omitindo o parâmetro targetRef, o Azure DevOps seleciona um branch de destino com base nessa escolha dinâmica.

É recomendável incluir apenas branches protegidos por políticas de solicitação de pull para garantir a consistência no histórico do primeiro pai da confirmação de dica.

Suporte a diagramas de sereia na visualização do arquivo markdown

Os arquivos Markdown que contêm a sintaxe mermaid agora serão renderizados como diagramas dentro de visualizações de arquivos no navegador de arquivos repos e em solicitações de pull. Isso pode ajudá-lo a adicionar documentação mais rica aos seus repositórios.

Captura de tela de diagramas de sereia na visualização do arquivo markdown.

Azure Pipelines

Ubuntu 24.04 em agentes hospedados do Azure Pipelines

A imagem do Ubuntu 24.04 agora está disponível para agentes hospedados do Azure Pipelines. Para usar essa imagem, atualize seu arquivo YAML para incluir vmImage:'ubuntu-24.04':

- job: ubuntu2404
  pool:
    vmImage: 'ubuntu-24.04'
  steps:
  - bash: |
      echo Hello from Ubuntu 24.04
      lsb_release -d

Observação

O ubuntu-latest rótulo da imagem continuará apontando para ubuntu-22.04 até o final deste ano.

Consulte o leia-me da imagem do Ubuntu 24.04 para obter o software instalado.

Usar a federação de identidade de carga de trabalho em testes de integração do Azure

Em junho, as bibliotecas de identidade do Azure for.NET, C++, Go, Java, JavaScript e Python adicionaram suporte para federação de identidade de carga de trabalho. Isso adicionou a capacidade de o código executado a partir do AzureCLI@2 e AzurePowerShell@5 tarefas para autenticar com o Microsoft Entra (por exemplo, para acessar o Azure) com a AzurePipelinesCredential classe.

Muitos clientes estão usando as bibliotecas de identidade do Azure em testes de integração invocados de outras tarefas. Agora adicionamos suporte para AzurePipelinesCredential as tarefas DotNetCoreCLI@2, Maven@4 e VSTest@3 .

Você pode definir a connectedService propriedade como uma conexão de serviço do Azure configurada com a federação de identidade de carga de trabalho. O AzurePipelinesCredential requer SYSTEM_ACCESSTOKEN ser definido.

- task: DotNetCoreCLI@2
  inputs:
    command: 'run'
    connectedService: <Azure service connection configured with workload identity federation>
  env:
    SYSTEM_ACCESSTOKEN: $(System.AccessToken)

Para obter mais informações sobre AzurePipelinesCredentialo , consulte esta postagem no blog.

Nova experiência de criação de conexão de serviço do Azure com suporte aprimorado à identidade gerenciada

A nova experiência de criação de conexão de serviço do Azure oferece maior flexibilidade e padrões seguros. Ele também alinha a terminologia com a ID do Microsoft Entra, para que os usuários que criam objetos de ID do Microsoft Entra manualmente tenham uma melhor compreensão ao navegar em diferentes portais.

Ao criar uma nova conexão de serviço do Azure Resource Manager, as várias opções para configurar a identidade agora estão disponíveis em uma única caixa de diálogo unificada que substitui os itens de nível superior distintos usados anteriormente:

Captura de tela das opções de nível superior da conexão de serviço do Azure.

O tipo de identidade lista todos os esquemas de autenticação compatíveis com a conexão de serviço do Azure:

Captura de tela do tipo de identidade.

Para registros de aplicativo, você pode selecionar independentemente Credencial para ser federação de identidade de carga de trabalho ou um segredo.

Suporte à Identidade Gerenciada da Conexão de Serviço do Azure

Agora você pode selecionar uma identidade gerenciada pré-existente e usá-la para configurar uma conexão de serviço que usa a federação de identidade de carga de trabalho. Primeiro, crie uma Identidade Gerenciada atribuída pelo usuário.

Em seguida, crie uma conexão de serviço do Azure e selecione o Tipo de Identidade Gerenciada. Isso configura credenciais de identidade federada na identidade gerenciada.

Captura de tela do suporte à Identidade Gerenciada.

A opção de usar uma identidade gerenciada atribuída a um agente (pool) foi renomeada para Identidade gerenciada (atribuída ao agente). Para evitar o compartilhamento de identidades gerenciadas com privilégios excessivos, é recomendável usar uma identidade gerenciada com federação de identidade de carga de trabalho em vez de identidades gerenciadas atribuídas a pools de agentes.

A identidade gerenciada também é a opção recomendada para usuários que não podem criar um registro de aplicativo se ele estiver desabilitado na ID do Microsoft Entra.

Para usar uma identidade gerenciada com federação de identidade de carga de trabalho, primeiro selecione a assinatura e o grupo de recursos que contém sua identidade gerenciada. Isso pode ser diferente da assinatura que a conexão de serviço acessa em trabalhos de pipeline. Escolha a identidade gerenciada configurada para federação de identidade de carga de trabalho. O usuário precisa da função Colaborador de Identidade Gerenciada ou permissões equivalentes na identidade gerenciada para criar credenciais de identidade federada nela.

Continue a selecionar a assinatura que será usada como o escopo de implantação para a conexão de serviço.

Captura de tela da seleção de Identidade Gerenciada.

Campo de referência de gerenciamento de serviços

Algumas organizações exigem que a Referência de Gerenciamento de Serviços de um registro de aplicativo seja preenchida com informações de contexto relevantes de um banco de dados ITSM. Se necessário, os usuários podem especificar essa referência no momento da criação da conexão de serviço.

Mais informações

A nova experiência de criação de conexão de serviço do Azure será lançada no próximo mês. Para saber mais, veja:

Executar estágios filhos quando o estágio pai falhar

Facilitamos a continuação das implantações usando o Azure Pipelines. Isso é útil, por exemplo, quando você usa o Pipelines para implantar novas versões do seu aplicativo em várias regiões do Azure.

Digamos que você precise implantar em cinco regiões consecutivas do Azure. Suponha que seu pipeline tenha um estágio para cada região e cada estágio tenha um trabalho que executa uma AzureResourceManagerTemplateDeployment tarefa e, em seguida, ele registra alguma telemetria. Este último é bom de se ter, mas não é crítico. Imagine que há um problema registrando a telemetria. Agora, o estágio falha e a implantação é interrompida.

A partir desse sprint, quando um estágio falha, você pode retomar a execução de seus estágios filhos.

Captura de tela dos estágios filho em execução se o estágio pai falhar.

Wiki

Melhorar a colagem de conteúdo baseado em HTML em Wikis

Facilitamos a colagem de conteúdo baseado em HTML em Wikis. Agora, elementos HTML como links, listas, tabelas, imagens, planilhas do Excel, mensagens do Microsoft Teams, emails e consultas do Azure Data Explorer são convertidos automaticamente em sintaxe Markdown para uma edição mais suave.

Próximas etapas

Observação

Esses recursos serão lançados nas próximas duas a três semanas.

Vá até o Azure DevOps e dê uma olhada.

Ir para o Azure DevOps

Como fornecer comentários

Adoraríamos ouvir o que você pensa sobre esses recursos. Use o menu de ajuda para relatar um problema ou fornecer uma sugestão.

Fazer uma sugestão

Você também pode obter conselhos e suas perguntas respondidas pela comunidade no Stack Overflow.

Obrigada,

Dan Hellem