Limit building pull requests from forked GitHub repositories.
Защо това е важно
Ограничаването на компилациите от pull request-и на форкнати GitHub хранилища е от решаващо значение за предотвратяване на неоторизирано инжектиране на код във вашия CI/CD конвейер. Злонамерени участници могат да подават pull request-и от форкове, съдържащи вредоносен код, който се изпълнява по време на автоматизирани компилации, което потенциално компрометира цялата ви среда на Microsoft 365. Без това ограничение рискувате излагане на чувствителни данни или внедряване на манипулирани артефакти.
Какво проверява Aether365
Тази проверка установява дали настройките на вашия Azure DevOps конвейер ограничават автоматизираните компилации за pull request-и, произхождащи от форкнати GitHub хранилища. Тя се появява в таблото Aether365 под проверките за microsoft-365 като AZDO.1022 и маркира конфигурации, при които този контрол за сигурност е деактивиран.
Как да го коригирате
- Влезте в своята Azure DevOps организация и отидете в проекта си.
- Отидете на Project Settings, след това изберете Repositories.
- Изберете хранилището, свързано с GitHub, и кликнете върху раздела Policies.
- Под "Pull request validation" намерете настройката "Limit fork builds".
- Активирайте опцията "Limit fork builds to only the following users" и посочете одобрени потребители или групи.
- Запазете промените, за да наложите ограничението.
Съответствие
- Други: Тази проверка е в съответствие с общите най-добри практики за сигурност при укрепване на CI/CD конвейери, въпреки че нито една конкретна регулаторна рамка не я изисква.
Свързани ресурси
- Azure DevOps: Управление на политики за компилация за форкнати хранилища
- Укрепване на сигурността за Azure Pipelines