Aether365

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Proč na tom záleží

Veřejné registrové balíčků, jako jsou npm, PyPI nebo NuGet, mohou vystavit vaše Azure DevOps pipeline rizikům v dodavatelském řetězci, pokud nejsou správně nakonfigurovány. Bez dodatečných ochranných opatření mohou škodlivé nebo kompromitované balíčky z veřejných zdrojů vnést zranitelnosti nebo zadní vrátka do vašich sestavovacích artefaktů. Zavedení bezpečnostních prvků zajistí, že jsou spotřebovávány pouze důvěryhodné balíčky, čímž se snižuje útočná plocha vašich CI/CD pracovních postupů.

Co Aether365 kontroluje

Tato kontrola ověřuje, zda má vaše prostředí Azure DevOps povoleny dodatečné ochranné prvky pro používání veřejných registrových balíčků, jako jsou upstream zdroje nebo povolování balíčků na seznam. Zobrazuje se na dashboardu Aether365 v kategorii kontrol Microsoft 365 s označením střední závažnosti (Medium severity).

Jak to opravit

  1. Přihlaste se do své organizace Azure DevOps a přejděte do Project Settings.
  2. V části Pipelines vyberte Settings (nebo Service connections, pokud spravujete připojení).
  3. Najděte sekci Package sources nebo Public package registries a ověřte, zda jsou povoleny dodatečné ochranné prvky (např. upstream zdroje, povolování balíčků na seznam nebo integrace skenování).
  4. Pokud ještě nejsou nakonfigurovány, povolte ochranné prvky, jako například:
    • Používání upstream zdrojů Azure Artifacts pro ukládání do mezipaměti a ověřování balíčků.
    • Konfigurace seznamu povolených balíčků pro omezení, které veřejné balíčky lze použít.
    • Integrace skeneru zranitelností balíčků, jako je GitHub Dependabot nebo Azure Defender.
  5. Otestujte svou pipeline, abyste se ujistili, že změny nenaruší stávající sestavení, a poté spusťte znovu skenování Aether365, abyste potvrdili, že kontrola prošla.

Pokud vaše prostředí nepodporuje tyto konkrétní ochranné prvky, obraťte se na svůj bezpečnostní tým ohledně alternativních opatření (např. výhradní používání soukromých feedů).

Shoda s předpisy

  • Framework: Other (tato kontrola není standardně mapována na konkrétní požadavek na shodu, ale podporuje obecné postupy zabezpečení dodavatelského řetězce)

Související zdroje

Byla tato stránka užitečná?

© 2026 Aether365. All rights reserved.