Planeje como proteger seus pipelines YAML

Serviços de DevOps do Azure | Azure DevOps Server 2022 | Azure DevOps Server 2020

Recomendamos que você use uma abordagem incremental para proteger seus pipelines. O ideal seria implementar todas as orientações que oferecemos. Mas não se assuste com o número de recomendações. E não deixe de fazer algumas melhorias só porque você não pode fazer todas as mudanças agora.

As recomendações de segurança dependem umas das outras

As recomendações de segurança têm interdependências complexas. Sua postura de segurança depende muito de quais recomendações você escolher implementar. As recomendações que você escolher, por sua vez, dependem das preocupações de suas equipes de DevOps e segurança. Eles também dependem das políticas e práticas da sua organização.

Você pode optar por reforçar a segurança em uma área crítica e aceitar menos segurança, mas mais conveniência em outra área. Por exemplo, se você usar extends modelos para exigir que todas as compilações sejam executadas em contêineres, talvez não precise de um pool de agentes separado para cada projeto.

Comece com um modelo quase vazio

Um bom lugar para começar é aplicando a extensão a partir de um modelo quase vazio. Dessa forma, à medida que você começa a aplicar práticas de segurança, você tem um local centralizado que já captura todos os pipelines.

Para obter mais informações, veja Templates (Modelos).

Desativar a criação de pipelines clássicos

Nota

Esse recurso está disponível a partir do Azure DevOps Server 2022.1.

Se você desenvolver apenas pipelines YAML, desative a criação de pipelines clássicos de compilação e lançamento. Isso evita uma preocupação de segurança decorrente do YAML e pipelines clássicos que compartilham os mesmos recursos, por exemplo, as mesmas conexões de serviço.

Você pode desabilitar a criação de pipelines de compilação clássicos e pipelines de liberação clássicos de forma independente. Quando você desabilita ambos, nenhum pipeline de compilação clássico, pipeline de liberação clássico, grupos de tarefas e grupos de implantação podem ser criados usando a interface do usuário ou a API REST.

Você pode desabilitar a criação de pipelines clássicos ativando duas alternâncias no nível da organização ou no nível do projeto. Para ativá-los, navegue até as configurações da sua organização/projeto e, na seção Pipelines, escolha Configurações. Na seção Geral, ative Desabilitar a criação de pipelines de compilação clássicos e Desabilitar a criação de pipelines de versão clássicos.

Quando você os ativa no nível da organização, ele é ativado para todos os projetos nessa organização. Se você deixá-los desativados, você pode escolher para quais projetos deseja ativá-los.

Para melhorar a segurança das organizações recém-criadas, começando com o Sprint 226, por padrão, desativaremos a criação de pipelines clássicos de compilação e lançamento para novas organizações.

Próximos passos

Depois de planejar sua abordagem de segurança, considere como seus repositórios fornecem proteção.