Усовершенствования для укрепления безопасности конвейеров
В этом обновлении мы включаем улучшения для укрепления безопасности в Azure DevOps. Теперь вы можете использовать управляемое удостоверение, назначаемое системой, при создании подключений службы реестра Docker для реестра контейнеров Azure. Кроме того, мы улучшили управление доступом для пулов агентов, чтобы указать использование ресурсов в конвейере YAML. Наконец, мы ограничиваем маркер доступа GitHub для форков общедоступных репозиториев GitHub, чтобы они были только для чтения.
Дополнительные сведения см. в заметках о выпуске.
Azure Boards
Azure Pipelines
- подключения службы реестра контейнеров теперь могут использовать управляемые удостоверения Azure
- события журнала аудита, связанные с доступом к конвейеру
- Убедитесь, что в организации используются только конвейеры YAML
- Новая область PAT, необходимая для обновления общих параметров конвейера
- детализированное управление доступом для пулов агентов
- Запрет предоставления всем конвейерам доступа к защищенным ресурсам
- Улучшенная безопасность при формировании pull requests из форков репозиториев GitHub
- метка macos-latest указывает на образ macos-12
- Новейшая метка Ubuntu будет указывать на образ ubuntu-22.04
Azure Boards
Копирование ссылок комментариев
Теперь можно использовать действие "Копировать ссылку" для копирования ссылки на конкретный комментарий рабочего элемента. Затем эту ссылку можно вставить в комментарий или описание другого рабочего элемента. При нажатии кнопки рабочий элемент будет открыт, а комментарий выделен.
Эта функция получила приоритет на основе этого предложения сообщества .
Заметка
Эта функция будет доступна только в New Boards Hubs preview.
Azure Pipelines
Управляемые удостоверения Azure теперь могут использоваться для подключений службы реестра контейнеров.
Управляемое удостоверение, назначаемое системой, можно использовать при создании подключений к службе реестра Docker для реестра контейнеров Azure. Это позволяет получить доступ к реестру контейнеров Azure с помощью управляемого удостоверения, связанного с локальным агентом Azure Pipelines, устраняя необходимость управления учетными данными.
Заметка
Управляемое удостоверение, используемое для доступа к реестру контейнеров Azure, должно иметь соответствующее назначение ролей в Azure для управления доступом (RBAC), например, роль AcrPull или AcrPush.
События журнала аудита, связанные с разрешениями конвейера
При ограничении разрешений конвейера защищенного ресурса, например подключения к службе, связанный журнал событий аудита теперь правильно указывает, что ресурс был успешно несанкционированных для своего проекта.
Убедитесь, что ваша организация использует только конвейеры YAML
Azure DevOps теперь позволяет гарантировать, что ваша организация использует только конвейеры YAML, отключив создание классических конвейеров сборки, классических конвейеров выпусков, групп задач и групп развертывания. Существующие классические конвейеры будут продолжать работать, и вы сможете изменять их, но вы не сможете создавать новые.
Вы можете отключить создание классических конвейеров на уровне организации или на уровне проекта, включив соответствующие переключатели. Переключатели можно найти в параметрах проекта или организации —> конвейеров>.
Состояние переключателя по умолчанию отключено, и для изменения состояния потребуется права администратора. Если переключатель включен на уровне организации, отключение применяется для всех проектов. В противном случае каждый проект может выбрать, следует ли применять отключение.
При обязательном отключении создания классических конвейеров, REST API, связанные с их созданием, группов задач и групп развертывания, не будут работать. REST API, создающие конвейеры YAML, будут работать.
Отключение создания классических конвейеров для существующих организаций является добровольным. Для новых организаций пока предусмотрена возможность по желанию.
Новая область PAT, необходимая для обновления общих параметров конвейера
Вызов общих параметров . Теперь для обновления REST API обновления требуется PAT с областью проекта и команды —> чтение & записи.
Детализированное управление доступом для пулов агентов
Пулы агентов позволяют указать компьютеры, на которых выполняются конвейеры, и управлять ими.
Ранее, если вы использовали пользовательский пул агентов, управление доступом конвейеров к нему было грубым. Вы можете разрешить всем конвейерам использовать его или требовать разрешения для каждого конвейера. К сожалению, после предоставления разрешения на доступ к конвейеру пулу агентов его невозможно отменить с помощью пользовательского интерфейса конвейеров.
Azure Pipelines теперь предоставляет точное управление доступом для пулов агентов. Этот опыт аналогичен опыту управления разрешениями для подключения к службе.
Запретить предоставление всем конвейерам доступа к защищенным ресурсам
При создании защищенного ресурса, например подключения к службе или среды, вы можете выбрать флажок Предоставить доступ всем конвейерам. До сих пор этот параметр был установлен по умолчанию.
Хотя это упрощает использование новых защищенных ресурсов конвейерами, недостаток заключается в том, что это способствует случайному предоставлению слишком многим конвейерам права доступа к ресурсу.
Чтобы повысить безопасный выбор по умолчанию, Azure DevOps теперь оставляет флажок незамеченным.
Улучшена безопасность при создании pull запросов из форкнутых репозиториев GitHub
Azure DevOps можно использовать для создания и тестирования общедоступного репозитория GitHub. Наличие общедоступного репозитория GitHub позволяет совместно работать с разработчиками по всему миру, но связано с проблемами безопасности, связанными с построением запросов на вытягивание (PR) из разветвленных репозиториев.
Чтобы предотвратить внесение нежелательных изменений в ваши репозитории через пулы запросов из форкнутых репозиториев GitHub, Azure DevOps теперь ограничивает маркер доступа GitHub, делая его доступным только для чтения.
Последняя метка Macos будет указывать на изображение macos-12
Образ macOS-12 Monterey готов стать версией по умолчанию для метки macos-latest в агентах, размещаемых Microsoft в Azure Pipelines. До сих пор эта метка указывала на агентов macos-11 Big Sur.
Полный список отличий между macos-12 и macos-11 см. в GitHub задаче
Метка ubuntu-latest будет указывать на образ ubuntu-22.04
Образ ubuntu-22.04 готов стать версией по умолчанию для метки ubuntu-latest в агентах, размещенных Microsoft в Azure Pipelines. До настоящего времени эта метка указывала на агентов ubuntu-20.04.
Полный список различий между ubuntu-22.04 и ubuntu-20.04 смотрите в обсуждении GitHub . Полный список программного обеспечения, установленного на образе, вы можете найти здесь: .
Дальнейшие действия
Заметка
Эти функции будут развернуты в течение следующих двух-трех недель.
Перейдите к Azure DevOps и посмотрите.
Как предоставить отзыв
Мы хотели бы услышать то, что вы думаете об этих функциях. Используйте меню справки, чтобы сообщить о проблеме или указать предложение.
Вы также можете получить советы и ответы сообщества на ваши вопросы на Stack Overflow.
Спасибо
Vijay Machiraju