Прочие вопросы по безопасности

Azure DevOps Services | Azure DevOps Server 2022 г. | Azure DevOps Server 2020 г.

При защите конвейеров следует учитывать несколько других аспектов.

Использование PATH

Полагаться на параметры агента PATH опасно. Это может не указывать на то, где, по вашему мнению, это происходит, так как предыдущий скрипт или инструмент мог изменить его. Для критически важных для безопасности скриптов и двоичных файлов всегда используйте полный путь к программе.

Ведение журнала секретов

Azure Pipelines пытается по возможности удалять секреты из журналов. Эта фильтрация выполняется на основе наилучших усилий и не может перехватывать все способы утечки секретов. Избегайте отправки секретов в консоль, их использования в параметрах командной строки или их записи в файлы.

Блокировка контейнеров

Контейнеры имеют несколько системных сопоставлений томов в задачах, рабочей области и внешних компонентах, необходимых для взаимодействия с агентом узла. Вы можете пометить любой или все эти тома только для чтения.

resources:
  containers:
  - container: example
    image: ubuntu:22.04
    mountReadOnly:
      externals: true
      tasks: true
      tools: true
      work: false  # the default; shown here for completeness

Большинство людей должны пометить первые три варианта только для чтения и оставить work как чтение и запись. Если вы знаете, что не будете выполнять запись в рабочий каталог в заданном задании или шаге, сделайте work также доступ только для чтения. Если в конвейере есть задачи, которые самостоятельно изменяются, может потребоваться оставить tasks чтение и запись.

Управление доступными задачами

Вы можете отключить возможность установки и выполнения задач из Marketplace. Это позволит вам получить больший контроль над кодом, который выполняется в конвейере. Вы также можете отключить все встроенные задачи (за исключением оформления заказа, которое является специальным действием для агента). Не рекомендуется отключать встроенные задачи в большинстве случаев.

Задачи, устанавливаемые непосредственно с , tfx всегда доступны. Если обе эти функции включены, доступны только эти задачи.

Использование службы аудита

Многие события конвейера записываются в службу аудита. Периодически просматривайте журнал аудита, чтобы убедиться в отсутствии вредоносных изменений. Посетите страницу https://dev.azure.com/ORG-NAME/_settings/audit , чтобы приступить к работе.

Дальнейшие действия

Вернитесь к обзору и убедитесь, что вы рассмотрели каждую статью.