Determinar sua abordagem para proteger pipelines YAML
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Considere adotar uma abordagem incremental para aumentar a segurança de seus pipelines. Embora seja ideal implementar todas as orientações que fornecemos, não fique sobrecarregado com o número de recomendações. Comece fazendo algumas melhorias, mesmo que você não possa resolver tudo imediatamente.
Interdependência de segurança
As recomendações de segurança são interdependentes. Sua postura depende das recomendações específicas que você implementa, que, por sua vez, se alinham com as preocupações e políticas organizacionais de suas equipes de DevOps e segurança.
Considere priorizar a segurança em áreas críticas, aceitando algumas compensações por conveniência em outros aspectos. Por exemplo, se você usar modelos extends para exigir que todos os builds sejam executados em contêineres, talvez você não precise de um pool de agentes separado para cada projeto.
Comece com um modelo quase vazio
Comece com um modelo mínimo e imponha gradualmente as extensões. Essa abordagem garante que, ao implementar práticas de segurança, você tenha um ponto de partida centralizado que abranja todos os pipelines.
Para saber mais, veja Modelos.
Desabilitar a criação de pipelines clássicos
Observação
Esse recurso está disponível a partir do Azure DevOps Server 2022.1.
Desabilite a criação de pipelines clássicos de build e lançamento se você usar exclusivamente pipelines YAML. Essa precaução evita uma preocupação de segurança decorrente de pipelines YAML e clássicos que compartilham os mesmos recursos, como conexões de serviço.
Desabilite independentemente a criação de pipelines de build clássicos e pipelines de lançamento clássicos. Quando ambos estão desabilitados, nenhum pipeline de build clássico, pipeline de lançamento clássico, grupos de tarefas ou grupos de implantação podem ser criados por meio da interface do usuário ou da API REST.
Para desabilitar a criação de pipelines clássicos, acesse as configurações da organização ou as configurações do projeto e, na seção Pipelines, selecione Configurações. Na seção Geral, alterne Desabilitar a criação de pipelines de compilação clássicos e Desabilitar a criação de pipelines de lançamento clássicos.
Se você habilitar esse recurso no nível da organização, ele se aplicará a todos os projetos dentro dessa organização. No entanto, se você deixá-lo desativado, poderá ativá-lo seletivamente para projetos específicos.
Para melhorar a segurança de organizações recém-criadas, começando com o Sprint 226, por padrão, desabilitamos a criação de pipelines clássicos de build e lançamento para novas organizações.