Limit job authorization scope to current project for non-release pipelines.
Proč na tom záleží
Pokud rozsah oprávnění úlohy není u kanálů, které nejsou určeny pro vydání, omezen na aktuální projekt, může úloha kanálu potenciálně přistupovat k prostředkům napříč více projekty v rámci vaší organizace Azure DevOps. Tím se rozšiřuje útočná plocha, protože kompromitovaný kanál v jednom projektu by mohl zneužít zvýšená oprávnění k manipulaci s tajemstvími nebo konfiguracemi v jiných projektech. Správci by se o to měli zajímat, protože omezení rozsahu na aktuální projekt prosazuje princip nejnižších oprávnění, čímž se snižuje riziko laterálního pohybu a neoprávněného přístupu k prostředkům.
Co kontroluje Aether365
Aether365 ověřuje, zda mají kanály, které nejsou určeny pro vydání, rozsah oprávnění úlohy omezen pouze na aktuální projekt. Tato kontrola se zobrazuje na řídicím panelu Aether365 v rámci bezpečnostních kontrol Microsoft 365 a označuje všechny kanály, kde je rozsah nastaven na "aktuální organizace" nebo širší rozsah.
Jak to opravit
- Přihlaste se do své organizace Azure DevOps a přejděte do projektu obsahujícího kanál, který není určen pro vydání.
- Přejděte do Project Settings (ikona ozubeného kola) a vyberte Pipelines a poté Settings.
- V části "Job authorization scope" se ujistěte, že je pro projekt povolena možnost "Limit job authorization scope to current project".
- U každého existujícího kanálu, který není určen pro vydání, upravte YAML kanálu nebo nastavení v klasickém editoru tak, aby byl rozsah oprávnění úlohy explicitně omezen na projekt.
- Uložte a zařaďte nové spuštění pro ověření, že je omezení aplikováno.
Shoda s předpisy
- Tato bezpečnostní kontrola je v souladu s osvědčenými postupy pro zabezpečení Azure DevOps (jako zdrojová data není uveden žádný konkrétní rámec).