Planifier la sécurisation de vos pipelines YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Nous vous recommandons d’utiliser une approche incrémentielle pour sécuriser vos pipelines. Dans l’idéal, implémentez toutes les solutions d’aide que nous proposons. Mais ne vous laissez pas intimider par le nombre de recommandations. Ne vous retenez pas d’apporter des améliorations simplement parce que vous ne pouvez pas apporter toutes les modifications pour l’instant.
Les recommandations de sécurité dépendent les unes des autres
Les recommandations de sécurité présentent des interdépendances complexes. Votre posture de sécurité dépend fortement des recommandations que vous choisissez d’implémenter. Les recommandations que vous choisissez, à leur tour, dépendent des préoccupations de vos équipes DevOps et de sécurité. Elles dépendent également des stratégies et des pratiques de votre organisation.
Vous pouvez choisir de renforcer la sécurité dans un domaine critique et de favoriser la praticité plutôt que la sécurité dans un autre domaine.
Par exemple, si vous utilisez des modèles extends
pour exiger que toutes les builds s’exécutent dans des conteneurs, vous n’avez peut-être pas besoin d’un pool d’agents distinct pour chaque projet.
Commencer par un modèle presque vide
Un bon point de départ consiste à appliquer l’extension à partir d’un modèle presque vide. Ainsi, lorsque vous commencez à appliquer des pratiques de sécurité, vous disposez d’un emplacement centralisé qui intercepte déjà chaque pipeline.
Pour plus d’informations, consultez Modèles.
Désactiver la création de pipelines classiques
Remarque
Cette fonctionnalité est disponible à partir d’Azure DevOps Server 2022.1.
Si vous développez uniquement des pipelines YAML, désactivez la création de pipelines de build et de mise en production classiques. Cela permet d’éviter un problème de sécurité qui provient de pipelines YAML et classiques partageant les mêmes ressources, par exemple, les mêmes connexions de service.
Vous pouvez désactiver la création de pipelines de build classiques et de pipelines de mise en production classiques indépendamment. Lorsque vous désactivez les deux, aucun pipeline de build classique, pipeline de mise en production classique, groupe de tâches et groupe de déploiement ne peut être créé à l’aide de l’interface utilisateur ou de l’API REST.
Vous pouvez désactiver la création de pipelines classiques en activant deux bascules au niveau de l’organisation ou du projet. Pour les activer, accédez à vos Paramètres d’organisation/de projet, puis, sous la section Pipelines, sélectionnez Paramètres. Dans la section Général, basculez sur Désactiver la création de pipelines de build classiques et Désactiver la création de pipelines de mise en production classiques.
Lorsque vous les activez au niveau de l’organisation, l’option est activée pour tous les projets de cette organisation. Si vous les laissez désactivés, vous pouvez choisir les projets pour lesquels vous souhaitez les activer.
Pour améliorer la sécurité des organisations nouvellement créées, à partir de Sprint 226, nous désactiverons par défaut la création de pipelines de build et de mise en production classiques pour les nouvelles organisations.
Étapes suivantes
Après avoir planifié votre approche de sécurité, réfléchissez à la façon dont vos référentiels assurent une protection.