Limit job authorization scope to current project for non-release pipelines.
Warum das wichtig ist
Wenn der Job-Berechtigungsbereich für Nicht-Release-Pipelines nicht auf das aktuelle Projekt beschränkt ist, könnte ein Pipeline-Job potenziell auf Ressourcen in mehreren Projekten Ihrer Azure DevOps-Organisation zugreifen. Dies vergrößert die Angriffsfläche, da eine kompromittierte Pipeline in einem Projekt erweiterte Berechtigungen nutzen könnte, um Geheimnisse oder Konfigurationen in anderen Projekten zu manipulieren. Administratoren sollten darauf achten, dass die Beschränkung auf das aktuelle Projekt das Prinzip der geringsten Privilegien durchsetzt und so das Risiko von lateralen Bewegungen und unbefugtem Ressourcenzugriff reduziert.
Was Aether365 prüft
Aether365 überprüft, ob der Job-Berechtigungsbereich bei Nicht-Release-Pipelines auf das aktuelle Projekt beschränkt ist. Diese Prüfung erscheint im Aether365-Dashboard unter den microsoft-365-Sicherheitsprüfungen und kennzeichnet alle Pipelines, deren Bereich auf "aktuelle Organisation" oder einen breiteren Bereich eingestellt ist.
So beheben Sie das Problem
- Melden Sie sich bei Ihrer Azure DevOps-Organisation an und navigieren Sie zu dem Projekt, das die Nicht-Release-Pipeline enthält.
- Gehen Sie zu Project Settings (Zahnradsymbol) und wählen Sie Pipelines und dann Settings.
- Stellen Sie im Abschnitt "Job authorization scope" sicher, dass die Option "Limit job authorization scope to current project" für das Projekt aktiviert ist.
- Bearbeiten Sie für jede vorhandene Nicht-Release-Pipeline das YAML oder die klassischen Editor-Einstellungen, um den Job-Berechtigungsbereich explizit auf das Projekt zu beschränken.
- Speichern Sie die Änderungen und führen Sie einen neuen Durchlauf durch, um die Anwendung der Beschränkung zu überprüfen.
Compliance
- Diese Sicherheitsprüfung entspricht den bewährten Methoden für die Azure DevOps-Sicherheit (kein spezifisches Framework als Quelldaten angegeben).