Limit job authorization scope to current project for classic release pipelines.
Proč na tom záleží
Omezení autorizace úloh na rozsah aktuálního projektu je klíčový bezpečnostní prvek pro klasické kanály vydání v Azure DevOps. Bez tohoto omezení by úloha kanálu mohla potenciálně přistupovat k prostředkům napříč více projekty, což zvyšuje riziko laterálního pohybu nebo neoprávněného přístupu v případě kompromitace kanálu. Správci by měli toto nastavení vynucovat, aby udrželi bezpečnostní postoj založený na nejnižších oprávněních a snížili plochu útoku v rámci své organizace Azure DevOps.
Co Aether365 kontroluje
Aether365 ověřuje, zda je rozsah autorizace úloh omezen na aktuální projekt u všech klasických kanálů vydání. Tato kontrola se zobrazí na vašem dashboardu Aether365 v sekci microsoft-365 security checks a pomáhá zajistit, že vaše prostředí Azure DevOps jsou v souladu s bezpečnostními osvědčenými postupy.
Jak to opravit
- Přihlaste se do své organizace Azure DevOps a přejděte do projektu, který obsahuje klasický kanál vydání.
- Přejděte do Project Settings (ikona ozubeného kola) a vyberte Agent Pools v sekci Pipelines.
- Najděte fond agentů používaný vaším kanálem vydání (obvykle výchozí fond) a vyberte ho.
- Klikněte na kartu Settings a ujistěte se, že je zaškrtnuto políčko "Limit job authorization scope to current project" pro všechny rozsahy autorizace úloh.
- Uložte změny a opakujte tyto kroky pro každou kombinaci projektu a fondu agentů používanou klasickými kanály vydání.
Soulad s předpisy
- Rámec: Other (Azure DevOps security best practices)
- Žádné konkrétní rámce pro soulad s předpisy (N/A)