Anonymous access to pipeline badges.
Hvorfor dette er vigtigt
Anonym adgang til pipeline-badges i Azure DevOps kan eksponere følsomme build- og release-oplysninger for enhver uden godkendelse. Dette skaber en risiko for informationslækage, hvor eksterne parter kan se pipelinestatus, commit-detaljer og andre metadata, der kan hjælpe med at målrette din organisation. IT-administratorer bør deaktivere anonym adgang for at bevare kontrollen over, hvem der kan se pipeline-aktivitet.
Hvad Aether365 kontrollerer
Aether365 scanner dit Microsoft 365-miljø (under afsnittet microsoft-365 checks i dashboardet) for at bekræfte, om anonym adgang er aktiveret for pipeline-badges. Kontrollen returnerer en advarsel med Medium alvorlighed, hvis anonym adgang er tilladt.
Sådan løser du det
- Log ind på din Azure DevOps-organisation (https://dev.azure.com/{organization}).
- Gå til Organisationens indstillinger (tandhjulsikon) > Pipelines > Settings.
- Under "General" finder du indstillingen "Anonymous access to badges" og sætter den til "Off" (Fra).
- Gem ændringerne for at deaktivere anonym badge-adgang for alle projekter i organisationen.
Overholdelse
- Andet: Denne kontrol er i overensstemmelse med almindelige sikkerhedsbedste praksis for at begrænse anonym datæksponering i CI/CD-pipelines.