Stäng aviseringar för beroendegenomsökning i Avancerad säkerhet

  • Artikel

Beroendegenomsökning i Advanced Security identifierar de öppen källkod komponenter som används i källkoden och identifierar om det finns några associerade säkerhetsrisker. Eventuella sårbarheter som hittas från öppen källkod komponenter flaggas som en avisering. Med den här uppdateringen kan du stänga aviseringar för beroendegenomsökning i Advanced Security som du anser vara en falsk positiv eller acceptabel risk.

I Azure Repos har vi ändrat standardbeteendet för att ta bort behörigheten "Redigera principer" när du skapar en ny gren.

Läs viktig information om de här funktionerna.

GitHub Advanced Security för Azure DevOps

Azure-tavlor

Azure-pipelines

Azure-lagringsplatser

Allmänt

Varningsavvisningar för beroendeskanning i Avancerad säkerhet

Du kan nu stänga eventuella aviseringar om beroendegenomsökning som du anser vara en falsk positiv eller acceptabel risk. Det här är samma alternativ för avsökning av hemligheter och kodgenomsökningsaviseringar i Avancerad säkerhet som du för närvarande kan använda.

Stäng en avisering om beroendegenomsökning

Observera att du kan behöva köra identifieringspipelinen igen med beroendegenomsökningsuppgiften och se till att du har behörighet för Advanced Security: dismiss alerts att stänga aviseringarna.

Mer information om aviseringsaviseringar finns i Stäng aviseringar för beroendegenomsökning.

Azure-tavlor

Vi har gjort en liten förbättring för att kopiera arbetsobjektets URL från flera områden i Azure Boards. Gör det enklare att hämta direktlänken till ett specifikt arbetsobjekt.

Bild för snabbmenyalternativ för kopieringslänk vid kvarvarande uppgifter

Kopieringslänken har lagts till i snabbmenyerna i arbetsobjektets formulär, kvarvarande uppgifter och kvarvarande uppgifter.

Kommentar

Den här funktionen är endast tillgänglig med förhandsversionen av New Boards Hubs.

Azure-pipelines

Kubernetes-uppgifter stöder nu kubelogin

Vi har uppdaterat uppgifterna KuberentesManifest@1, HelmDeploy@0, Kubernetes@1 och AzureFunctionOnKubernetes@1 för att stödja kubelogin. På så sätt kan du använda Azure Kubernetes Service (AKS) som ställts in med Azure Active Directory-integrering.

Kubelogin är inte förinstallerat på värdbaserade avbildningar. Om du vill se till att ovan nämnda uppgifter använder kubelogin installerar du det genom att infoga KubeloginInstaller@0 uppgift före den aktivitet som är beroende av den:

 - task: KubeloginInstaller@0

 - task: HelmDeploy@0
   # arguments do not need to be modified to use kubelogin

Förbättringar av REST API för godkännanden

Godkännanden ökar säkerheten för YAML-pipelinen genom att ge dig möjlighet att manuellt granska en distribution till produktion. Vi har uppdaterat REST-API:et för godkännandefrågor för att göra det mer kraftfullt. Nu ska du:

  • Du behöver inte ange en lista med approvalIds. Alla parametrar är nu valfria.
  • Kan ange en lista över userIds för att hämta listan över godkännanden som väntar på dessa användare. För närvarande returnerar REST-API:et listan över godkännanden som användarna uttryckligen tilldelas som godkännare för.
  • Kan ange vilka state godkännanden som ska returneras, till exempel pending.

Här är ett exempel: GET https://dev.azure.com/fabrikamfiber/fabrikam-chat/_apis/pipelines/approvals?api-version=7.1-preview.1&userId=00aa00aa-bb11-cc22-dd33-44ee44ee44ee&state=pending returnerar

{
    "count": 2,
    "value":
    [
        {
            "id": "87436c03-69a3-42c7-b5c2-6abfe049ee4c",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/87436c03-69a3-42c7-b5c2-6abfe049ee4c"
                }
            }
        },
        {
            "id": "2549baca-104c-4a6f-b05f-bdc4065a53b7",
            "steps": [],
            "status": "pending",
            "createdOn": "2023-06-27T13:58:07.417Z",
            "lastModifiedOn": "2023-06-27T13:58:07.4164237Z",
            "executionOrder": "anyOrder",
            "minRequiredApprovers": 1,
            "blockedApprovers": [],
            "_links":
            {
                "self":
                {
                    "href": "https://dev.azure.com/fabrikamfiber/fabricam-chat/_apis/pipelines/approvals/2549baca-104c-4a6f-b05f-bdc4065a53b7"
                }
            }
        }
    ]
}

Inaktivera en kontroll

Vi gjorde felsökningskontrollerna mindre omständliga. Ibland fungerar inte en Anropa Azure-funktion eller anropa REST API-kontroll korrekt och du måste åtgärda den. Tidigare var du tvungen att ta bort sådana kontroller för att förhindra att de felaktigt blockerade en distribution. När du har åtgärdat kontrollen var du tvungen att lägga till den igen och konfigurera den korrekt, se till att alla nödvändiga huvuden har angetts eller att frågeparametrarna är korrekta. Det här är omständligt.

Nu kan du bara inaktivera en kontroll. Den inaktiverade kontrollen körs inte i efterföljande utvärderingar av checksviten.

Inaktivera en kontrollbild.

När du har åtgärdat den felaktiga kontrollen kan du bara aktivera den.

Aktivera en kontrollbild.

Uppdateringar av YAML Cron-scheman

I YAML-pipelines kan du definiera schemalagda utlösare med hjälp av cron YAML-egenskapen.

Vi har uppdaterat hur egenskapen batch fungerar. Om du anger batch till true körs cron-schemat inte i ett nötskal om en annan schemalagd pipelinekörning pågår. Detta gäller oavsett vilken version av pipelinelagringsplatsen som används.

I följande tabell beskrivs hur always och batch interagerar.

Alltid Batch Funktionssätt
false false Pipeline körs endast om det sker en ändring i förhållande till den senaste lyckade schemalagda pipelinekörningen
false true Pipeline körs endast om det sker en ändring med avseende på den senaste lyckade schemalagda pipelinekörningen och det inte finns någon pågående schemalagd pipelinekörning
true false Pipelinekörningar enligt cron-schemat
true true Pipelinekörningar enligt cron-schemat

Anta till exempel always: false och batch: true. Anta att det finns ett cron-schema som anger att pipelinen ska köras var femte minut. Anta att det finns en ny incheckning. Inom 5 minuter startar pipelinen sin schemalagda körning. Tänk dig att en pipelinekörning tar 30 minuter att slutföra. Inom dessa 30 minuter sker ingen schemalagd körning, oavsett antalet incheckningar. Nästa schemalagda körning sker först när den aktuella schemalagda körningen har slutförts.

DIN YAML-pipeline kan innehålla flera cron-scheman och du kanske vill att din pipeline ska köra olika steg/jobb baserat på vilket cron-schema som körs. Du har till exempel ett nattligt bygge och en veckoversion, och du önskar att pipelinen under veckoversionen samlar in mer statistik.

Vi gör detta möjligt genom att introducera en ny fördefinierad systemvariabel med namnet Build.CronSchedule.DisplayName som innehåller displayName egenskapen för ett cron-schema.

Nya växlar för att styra skapandet av klassiska pipelines

Förra året lanserade vi konfigurationsinställningen Pipelines för att inaktivera skapandet av klassiska bygg- och versionspipelines.

Som svar på din feedback har vi delat upp den första växlingsknappen i två: en för klassiska bygg-pipelines och en för klassiska versionspipelines , distributionsgrupper och aktivitetsgrupper.

Inaktivera skapande

Om din organisation har växlingsknappen Disable creation of classic build and release pipelines aktiverad är båda de nya växlarna aktiverade. Om den ursprungliga växlingsknappen är avstängd är båda nya reglagen avstängda.

Azure-lagringsplatser

Ta bort behörigheten "Redigera principer" till grenskapare

Tidigare, när du skapade en ny gren, har du fått behörighet att redigera principer på den grenen. Med den här uppdateringen ändrar vi standardbeteendet så att den inte beviljar den här behörigheten även om inställningen "Behörighetshantering" är aktiverad för lagringsplatsen.

Avbildning för behörighetshantering.

Du behöver behörigheten "Redigera principer" uttryckligen (antingen manuellt eller via REST API) genom arv av säkerhetsbehörigheter eller genom ett gruppmedlemskap.

Nästa steg

Kommentar

Dessa funktioner kommer att distribueras under de kommande två till tre veckorna.

Gå över till Azure DevOps och ta en titt.

Gå till Azure DevOps

Så här ger du feedback

Vi vill gärna höra vad du tycker om de här funktionerna. Använd hjälpmenyn för att rapportera ett problem eller ge ett förslag.

Ge ett förslag

Du kan också få råd och dina frågor som besvaras av communityn på Stack Overflow.

Tack,

Silviu Andrica