Limit building pull requests from forked GitHub repositories.
Warum dies wichtig ist
Die Einschränkung von Pull-Request-Builds aus geforkten GitHub-Repositorys ist entscheidend, um unbefugte Code-Injektionen in Ihrer CI/CD-Pipeline zu verhindern. Böswillige Akteure könnten Pull-Requests aus Forks mit schädlichem Code einreichen, der während automatischer Builds ausgeführt wird und möglicherweise Ihre gesamte Microsoft 365-Umgebung gefährdet. Ohne diese Einschränkung riskieren Sie die Offenlegung sensibler Daten oder die Bereitstellung manipulierter Artefakte.
Was Aether365 prüft
Diese Prüfung stellt sicher, dass Ihre Azure DevOps-Pipeline-Einstellungen automatische Builds für Pull-Requests aus geforkten GitHub-Repositorys einschränken. Sie wird im Aether365-Dashboard unter den Microsoft 365-Prüfungen als AZDO.1022 angezeigt und kennzeichnet Konfigurationen, bei denen diese Sicherheitskontrolle deaktiviert ist.
Behebung
- Melden Sie sich bei Ihrer Azure DevOps-Organisation an und navigieren Sie zu Ihrem Projekt.
- Gehen Sie zu Project Settings und wählen Sie dann Repositories aus.
- Wählen Sie das mit GitHub verbundene Repository aus und klicken Sie auf die Registerkarte Policies.
- Suchen Sie unter "Pull request validation" die Einstellung "Limit fork builds".
- Aktivieren Sie die Option "Limit fork builds to only the following users" und geben Sie berechtigte Benutzer oder Gruppen an.
- Speichern Sie die Änderungen, um die Einschränkung zu erzwingen.
Compliance
- Sonstige: Diese Prüfung entspricht allgemeinen Sicherheitsbest Practices für die Härtung von CI/CD-Pipelines, obwohl kein spezifisches Compliance-Framework sie vorschreibt.