Limit job authorization scope to current project for non-release pipelines.
Hvorfor dette er vigtigt
Når jobbemyndighedsområdet ikke er begrænset til det aktuelle projekt for ikke-release pipelines, kan et pipeline-job potentielt få adgang til ressourcer på tværs af flere projekter i din Azure DevOps-organisation. Dette udvider angrebsfladen, da en kompromitteret pipeline i ét projekt kan udnytte forhøjede rettigheder til at manipulere hemmeligheder eller konfigurationer i andre projekter. Administratorer bør være opmærksomme, fordi begrænsning af området til det aktuelle projekt håndhæver princippet om mindste rettigheder, hvilket reducerer risikoen for lateral bevægelse og uautoriseret ressourcetilgang.
Hvad Aether365 kontrollerer
Aether365 verificerer, at ikke-release pipelines har deres jobbemyndighedsområde begrænset til kun det aktuelle projekt. Denne kontrol vises i Aether365-dashboardet under microsoft-365 sikkerhedskontroller og markerer alle pipelines, hvor området er indstillet til "aktuel organisation" eller et bredere område.
Sådan rettes det
- Log ind på din Azure DevOps-organisation, og gå til projektet, der indeholder ikke-release pipelinen.
- Gå til Project Settings (tandhjulsikon) og vælg Pipelines derefter Settings.
- Under afsnittet "Job authorization scope" skal du sikre, at indstillingen "Limit job authorization scope to current project" er aktiveret for projektet.
- For hver eksisterende ikke-release pipeline skal du redigere pipeline YAML eller klassiske editorindstillinger for eksplicit at begrænse jobbemyndighedsområdet til projektet.
- Gem og sæt en ny kørsel i kø for at bekræfte, at begrænsningen er anvendt.
Overholdelse
- Denne sikkerhedskontrol er i overensstemmelse med bedste praksis for Azure DevOps-sikkerhed (ingen specifik ramme angivet som kildedata).