Déterminer votre approche de sécurisation des pipelines YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Envisagez d’adopter une approche incrémentielle pour améliorer la sécurité de vos pipelines. Bien qu’il soit idéal de mettre en œuvre tous les conseils que nous fournissons, n’êtes pas submergé par le nombre de recommandations. Commencez par apporter des améliorations, même si vous ne pouvez pas tout résoudre immédiatement.
Interdépendance de sécurité
Les recommandations en matière de sécurité sont interdépendantes. Votre posture repose sur les recommandations spécifiques que vous implémentez, qui, à son tour, s’alignent sur les préoccupations et les stratégies organisationnelles de vos équipes devOps et de sécurité.
Envisagez de hiérarchiser la sécurité dans les domaines critiques tout en acceptant certains compromis pour des raisons pratiques dans d’autres aspects. Par exemple, si vous utilisez des modèles extends pour exiger que toutes les builds s’exécutent dans des conteneurs, vous n’avez peut-être pas besoin d’un pool d’agents distinct pour chaque projet.
Commencer par un modèle presque vide
Commencez par un modèle minimal et appliquez progressivement les extensions. Cette approche garantit que lorsque vous implémentez des pratiques de sécurité, vous disposez d’un point de départ centralisé qui couvre tous les pipelines.
Pour plus d’informations, consultez Modèles.
Désactiver la création de pipelines classiques
Remarque
Cette fonctionnalité est disponible à partir d’Azure DevOps Server 2022.1.
Désactivez la création de pipelines de build et de mise en production classiques si vous utilisez exclusivement des pipelines YAML. Cette précaution empêche une préoccupation de sécurité découlant des pipelines YAML et classiques partageant les mêmes ressources, telles que les connexions de service.
Désactivez indépendamment la création de pipelines de build classiques et de pipelines de mise en production classiques. Lorsque les deux sont désactivés, aucun pipeline de build classique, pipeline de mise en production classique, groupes de tâches ou groupes de déploiement ne peut être créé via l’interface utilisateur ou l’API REST.
Pour désactiver la création de pipelines classiques, accédez aux paramètres de votre organisation ou aux paramètres du projet, puis, sous la section Pipelines, sélectionnez Paramètres. Dans la section Général, basculez sur Désactiver la création de pipelines de build classiques et Désactiver la création de pipelines de mise en production classiques.
Si vous activez cette fonctionnalité au niveau de l’organisation, elle s’applique à tous les projets au sein de cette organisation. Toutefois, si vous la laissez désactivée, vous pouvez l’activer de manière sélective pour des projets spécifiques.
Pour améliorer la sécurité des organisations nouvellement créées, à compter de Sprint 226, par défaut, nous désactivons la création de pipelines de build et de mise en production classiques pour les nouvelles organisations.