Limit job authorization scope to current project for classic release pipelines.
Защо това е важно
Ограничаването на оторизацията за задания до обхвата на текущия проект е ключова контрола за сигурност при класическите pipeline-ове за пускане в Azure DevOps. Без това ограничение, задание на pipeline потенциално би могло да получи достъп до ресурси от множество проекти, което увеличава риска от странично придвижване или неоторизиран достъп при компрометиране на pipeline. Администраторите трябва да прилагат тази настройка, за да поддържат принципа на минималните привилегии и да намалят повърхността за атаки в рамките на своята организация в Azure DevOps.
Какво проверява Aether365
Aether365 проверява дали обхватът на оторизация за задания е ограничен до текущия проект за всички класически pipeline-ове за пускане. Тази проверка се появява в таблото ви на Aether365 в секцията за проверки на сигурността microsoft-365, като помага да гарантирате, че средите ви в Azure DevOps са в съответствие с най-добрите практики за сигурност.
Как да отстраните проблема
- Влезте в своята организация Azure DevOps и отидете до проекта, който съдържа класическия pipeline за пускане.
- Отидете в Project Settings (икона на зъбно колело) и изберете Agent Pools в секцията Pipelines.
- Намерете пула от агенти, използван от вашия pipeline за пускане (обикновено това е пулът по подразбиране), и го изберете.
- Кликнете върху раздела Settings и се уверете, че квадратчето "Limit job authorization scope to current project" е активирано за всички обхвати на оторизация за задания.
- Запазете промените и повторете стъпките за всяка комбинация от проект и пул от агенти, използвани от класическите pipeline-ове за пускане.
Съответствие
- Рамка: Други (най-добри практики за сигурност на Azure DevOps)
- Няма конкретни рамки за съответствие (N/A)