共用方式為

加強管線安全性的改善

  • 發行項

透過此更新,我們包括加強 Azure DevOps 中安全性的改善。 現在,您可以在建立 Azure Container Registry 的 Docker 登錄服務連線時,使用系統指派的受控識別。 此外,我們已增強代理程式集區的存取管理,讓您指定 YAML 管線內的資源使用。 最後,我們會將分支公用 GitHub 存放庫的 GitHub 存取令牌限製為具有唯讀範圍。

如需詳細資訊,請參閱版本資訊。

Azure Boards

Azure Pipelines

Azure Boards

您現在可以使用 [複製連結] 動作,將連結複製到特定工作專案批注。 然後,您可以將該連結貼到另一個工作專案批注或描述中。 按兩下時,將會開啟工作專案,並反白顯示批注。

Gif to demo copy comments link.

此功能已根據 此社群建議票證設定優先順序。

注意

這項功能僅適用於 New Boards Hubs 預覽版。

Azure Pipelines

Container Registry 服務連線現在可以使用 Azure 受控識別

您可以在建立 Azure Container Registry 的 Docker 登錄服務連線時,使用系統指派的受控識別。 這可讓您使用與自我裝載的 Azure Pipelines 代理程式相關聯的受控識別來存取 Azure Container Registry,而不需要管理認證。

New Docker Registry Service Connection for Changes to Approvals

注意

用來存取 Azure Container Registry 的受控識別需要適當的 Azure 角色型 存取控制 (RBAC) 指派,例如 AcrPull 或 AcrPush 角色。

當您限制受保護資源的管線許可權,例如服務連線時,相關聯的稽核事件記錄檔現在會正確指出資源已成功對其專案未經授權

Pipeline Permissions for Changes to Approvals

Successfully Authorized for Changes to Approvals

確定您的組織只會使用YAML管線

Azure DevOps 現在可讓您藉由停用建立傳統組建管線、傳統發行管線、工作組和部署群組,來確保組織只使用 YAML 管線。 您現有的傳統管線將會繼續執行,而且您將能夠編輯它們,但您將無法建立新的管線。

您可以開啟對應的切換,以停用在組織層級或專案層級建立傳統管線。 切換可在 Project /Organization 設定 -> Pipelines -> 設定 中找到

Disable Creation Of Classic Build and Classic Pipeline for Changes to Approvals

切換狀態預設為關閉,您需要系統管理員許可權才能變更狀態。 如果切換在組織層級開啟,則會對所有項目強制執行停用。 否則,每個專案皆可自由選擇是否要強制執行停用。

強制執行停用建立傳統管線時,與建立傳統管線、工作組和部署群組相關的 REST API 將會失敗。 建立 YAML 管線的 REST API 將會運作。

停用傳統管線的建立會選擇加入現有的組織。 對於新組織,其會選擇暫時加入。

更新管線一般 設定 所需的新 PAT 範圍

叫用一般 設定 - 更新 REST API 現在需要具有專案和小組範圍的 PAT -> 讀取和寫入

Project and Team

代理程式集區的精細存取管理

代理程式集區可讓您指定和管理管線執行所在的機器。

先前,如果您使用自定義代理程式集區,則管理哪些管線可以存取它已粗略。 您可以允許所有管線使用它,或要求每個管線要求許可權。 不幸的是,一旦您授與代理程式集區的管線訪問許可權,您便無法使用管線 UI 來撤銷它。

Azure Pipelines 現在為代理程式集區提供更細緻的存取管理。 此體驗類似於管理服務 連線 管線許可權的體驗。

FabrikamFiber Agent Pool for Changes to Approvals

防止授與所有管線對受保護資源的存取權

當您建立受保護的資源,例如服務連線或環境時,您可以選擇 [ 授與所有管線的訪問許可權 ] 複選框。 到目前為止,預設會核取此選項。

雖然這可讓管線更容易使用新的受保護資源,但相反的是,它偏好不小心授與太多管線存取資源的許可權。

若要升級默認選擇,Azure DevOps 現在會取消勾選複選框。

New Generic Service Connection for Changes to Approvals

改善從分支 GitHub 存放庫建置提取要求時的安全性

您可以使用 Azure DevOps 來建置及測試公用 GitHub 存放庫。 擁有公用 GitHub 存放庫可讓您與世界各地的開發人員共同作業,但隨附 與從分支存放庫建置提取要求 (PR) 相關的安全性考慮。

為了防止PR分支 GitHub 存放庫對您的存放庫進行不想要的變更,Azure DevOps 現在會將 GitHub 存取令牌限製為具有唯讀範圍。

Macos-latest 標籤會指向 macos-12 映射

macos-12 Monterey 映射已準備好成為 Azure Pipelines Microsoft 裝載代理程式中“macos-latest” 卷標的預設版本。 到目前為止,這個標籤指向 macos-11 Big Sur 代理程式。

如需macos-12與macos-11之間差異的完整清單,請流覽 GitHub 問題。 如需映像上安裝的完整軟體清單,請參閱 這裡

Ubuntu-latest 標籤會指向 ubuntu-22.04 映射

ubuntu-22.04 映射已準備好成為 Azure Pipelines Microsoft 裝載代理程式中 ubuntu-latest 卷標的預設版本。 到目前為止,此標籤指向 ubuntu-20.04 代理程式。

如需 ubuntu-22.04 與 ubuntu-20.04 之間差異的完整清單,請流覽 GitHub 問題。 如需映像上安裝的完整軟體清單,請參閱 這裡

下一步

注意

這些功能將在未來兩到三周內推出。

前往 Azure DevOps 並查看。

移至 Azure DevOps

如何提供意見反應

我們很樂意聽到您對於這些功能的看法。 使用說明功能表來回報問題或提供建議。

Make a suggestion

您也可以在 Stack Overflow 上的社群取得建議和您的問題。

感謝您!

Vijay Machiraju