Anonymous access to pipeline badges.
Warum das wichtig ist
Der anonyme Zugriff auf Pipeline-Badges in Azure DevOps kann sensible Build- und Release-Informationen für jeden ohne Authentifizierung offenlegen. Dies birgt ein Risiko der Informationspreisgabe, bei dem externe Parteien den Pipeline-Status, Commit-Details und andere Metadaten einsehen können, die für Angriffe auf Ihre Organisation genutzt werden könnten. IT-Administratoren sollten den anonymen Zugriff deaktivieren, um die Kontrolle darüber zu behalten, wer Pipeline-Aktivitäten einsehen kann.
Was Aether365 überprüft
Aether365 scannt Ihre Microsoft 365-Umgebung (unter dem Abschnitt "microsoft-365 checks" im Dashboard), um zu überprüfen, ob der anonyme Zugriff auf Pipeline-Badges aktiviert ist. Die Prüfung gibt einen Medium-Schweregrad-Alarm aus, wenn der anonyme Zugriff erlaubt ist.
So beheben Sie das Problem
- Melden Sie sich bei Ihrer Azure DevOps-Organisation an (https://dev.azure.com/{organization}).
- Navigieren Sie zu "Organization Settings" (Zahnrad-Symbol) > "Pipelines" > "Settings".
- Suchen Sie unter "General" die Option "Anonymous access to badges" und setzen Sie diese auf "Off".
- Speichern Sie die Änderungen, um den anonymen Badge-Zugriff für alle Projekte in der Organisation zu deaktivieren.
Compliance
- Weitere: Diese Prüfung entspricht den gängigen Sicherheitsbest Practices zur Begrenzung der anonymen Datenpreisgabe in CI/CD-Pipelines.