Limit job authorization scope to current project for classic release pipelines.
Warum dies wichtig ist
Die Einschränkung der Auftragsautorisierung auf den aktuellen Projektbereich ist eine wesentliche Sicherheitskontrolle für klassische Releasepipelines in Azure DevOps. Ohne diese Begrenzung könnte ein Pipeline-Auftrag potenziell auf Ressourcen in mehreren Projekten zugreifen, was das Risiko von Lateralbewegungen oder unbefugtem Zugriff im Falle einer Pipeline-Kompromittierung erhöht. Administratoren sollten diese Einstellung erzwingen, um eine Least-Privilege-Sicherheitshaltung beizubehalten und die Angriffsfläche innerhalb ihrer Azure DevOps-Organisation zu reduzieren.
Was Aether365 prüft
Aether365 überprüft, ob der Bereich der Auftragsautorisierung für alle klassischen Releasepipelines auf das aktuelle Projekt beschränkt ist. Diese Prüfung erscheint in Ihrem Aether365-Dashboard unter den microsoft-365 security checks und hilft sicherzustellen, dass Ihre Azure DevOps-Umgebungen mit den Sicherheitsbest Practices übereinstimmen.
Behebung des Problems
- Melden Sie sich bei Ihrer Azure DevOps-Organisation an und navigieren Sie zu dem Projekt, das die klassische Releasepipeline enthält.
- Gehen Sie zu Project Settings (Zahnradsymbol) und wählen Sie Agent Pools im Abschnitt Pipelines aus.
- Suchen Sie den von Ihrer Releasepipeline verwendeten Agentpool (in der Regel den Standardpool) und wählen Sie ihn aus.
- Klicken Sie auf die Registerkarte Settings und stellen Sie sicher, dass das Kontrollkästchen "Limit job authorization scope to current project" für alle Auftragsautorisierungsbereiche aktiviert ist.
- Speichern Sie Ihre Änderungen und wiederholen Sie diese Schritte für jede Kombination aus Projekt und Agentpool, die von klassischen Releasepipelines verwendet wird.
Compliance
- Framework: Other (Azure DevOps security best practices)
- Keine spezifischen Compliance-Frameworks (N/A)