Outras considerações de segurança

Serviços do Azure DevOps | Azure DevOps Server 2022 | Azure DevOps Server 2020

Existem algumas outras coisas que deve considerar ao proteger os pipelines.

Confiar no PATH

Confiar na definição do PATH agente é perigoso. Pode não apontar para onde pensa que sim, uma vez que um script ou ferramenta anterior poderia ter alterado o mesmo. Para scripts e binários críticos de segurança, utilize sempre um caminho completamente qualificado para o programa.

Registo de segredos

O Azure Pipelines tenta limpar segredos de registos sempre que possível. Esta filtragem é uma base de melhor esforço e não consegue perceber de todas as formas que os segredos podem ser divulgados. Evite ecoar segredos para a consola, utilizá-los em parâmetros de linha de comandos ou registo-los em ficheiros.

Bloquear contentores

Os contentores têm alguns mapeamentos de montagens de volume fornecidos pelo sistema nas tarefas, na área de trabalho e nos componentes externos necessários para comunicar com o agente anfitrião. Pode marcar qualquer um ou todos estes volumes só de leitura.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

A maioria das pessoas deve marcar os três primeiros só de leitura e sair work como leitura-escrita. Se souber que não escreverá no diretório de trabalho num determinado trabalho ou passo, avance e torne-se work também só de leitura. Se tiver tarefas no pipeline, que se modificam automaticamente, poderá ter de deixar tasks a leitura-escrita.

Controlar tarefas disponíveis

Pode desativar a capacidade de instalar e executar tarefas a partir do Marketplace. Isto irá permitir-lhe um maior controlo sobre o código que é executado num pipeline. Também pode desativar todas as tarefas na caixa (exceto Checkout, que é uma ação especial no agente). Recomendamos que não desative as tarefas na caixa na maioria das circunstâncias.

As tarefas instaladas diretamente com tfx estão sempre disponíveis. Com ambas as funcionalidades ativadas, apenas essas tarefas estão disponíveis.

Utilizar o serviço de Auditoria

Muitos eventos de pipeline são registados no serviço de Auditoria. Reveja periodicamente o registo de auditoria para garantir que não foram efetuadas alterações maliciosas. Visite https://dev.azure.com/ORG-NAME/_settings/audit para começar.

Passos seguintes

Regresse à descrição geral e certifique-se de que abordou todos os artigos.