Planera hur du skyddar dina YAML-pipelines

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

Vi rekommenderar att du använder en inkrementell metod för att skydda dina pipelines. Helst skulle du implementera all vägledning som vi erbjuder. Men låt dig inte skrämmas av antalet rekommendationer. Och vänta inte med att göra vissa förbättringar bara för att du inte kan göra alla ändringar just nu.

Säkerhetsrekommendationer beror på varandra

Säkerhetsrekommendationer har komplexa beroenden. Din säkerhetsstatus beror mycket på vilka rekommendationer du väljer att implementera. Vilka rekommendationer du väljer beror i sin tur på dina DevOps- och säkerhetsteams problem. De beror också på organisationens principer och metoder.

Du kan välja att öka säkerheten inom ett kritiskt område och acceptera mindre säkerhet men mer bekvämlighet i ett annat område. Om du till exempel använder extends mallar för att kräva att alla versioner körs i containrar kanske du inte behöver en separat agentpool för varje projekt.

Börja med en nästan tom mall

Ett bra ställe att börja på är genom att framtvinga tillägg från en nästan tom mall. På så sätt har du en central plats som redan fångar upp varje pipeline när du börjar tillämpa säkerhetsrutiner.

Mer information finns i Mallar.

Inaktivera skapandet av klassiska pipelines

Kommentar

Den här funktionen är tillgänglig från och med Azure DevOps Server 2022.1.

Om du bara utvecklar YAML-pipelines inaktiverar du skapandet av klassiska bygg- och versionspipelines. Detta förhindrar ett säkerhetsproblem som härrör från YAML och klassiska pipelines som delar samma resurser, till exempel samma tjänstanslutningar.

Du kan inaktivera skapandet av klassiska byggpipelines och klassiska versionspipelines oberoende av varandra. När du inaktiverar båda kan ingen klassisk bygg-pipeline, klassisk versionspipeline, aktivitetsgrupper och distributionsgrupper skapas med antingen användargränssnittet eller REST-API:et.

Du kan inaktivera skapandet av klassiska pipelines genom att aktivera två reglage på organisationsnivå eller projektnivå. Om du vill aktivera dem går du till inställningarna för organisation/projekt och väljer sedan Inställningar under avsnittet Pipelines. I avsnittet Allmänt växlar du till Inaktivera skapande av klassiska byggpipelines och Inaktivera skapande av klassiska versionspipelines.

När du aktiverar dem på organisationsnivå är det aktiverat för alla projekt i organisationen. Om du lämnar dem inaktiverade kan du välja för vilka projekt du vill aktivera dem.

För att förbättra säkerheten för nyligen skapade organisationer, från och med Sprint 226, inaktiverar vi som standard skapandet av klassiska bygg- och versionspipelines för nya organisationer.

Nästa steg

När du har planerat din säkerhetsmetod bör du överväga hur dina lagringsplatser ger skydd.