Disable Marketplace tasks.
Warum das wichtig ist
Wenn Aufgaben aus dem öffentlichen Marketplace installiert werden dürfen, gelangt nicht geprüfter Code in Ihre Azure DevOps-Pipelines. Bösartige oder schlecht gewartete Aufgaben können Geheimnisse preisgeben, das Pipeline-Verhalten ändern oder als Angriffsvektor für Supply-Chain-Angriffe dienen. Durch das Deaktivieren von Marketplace-Aufgaben verringern Sie Ihre Angriffsfläche und stellen sicher, dass nur genehmigte, intern geprüfte Aufgaben verwendet werden.
Was Aether365 prüft
Aether365 überprüft, ob die Azure DevOps-Organisationseinstellung zur Deaktivierung der Installation von Marketplace-Aufgaben aktiviert ist. Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Kategorie "microsoft-365 checks" (microsoft-365-Prüfungen) angezeigt.
Behebung
- Melden Sie sich als Projektauflistungsadministrator bei Ihrer Azure DevOps-Organisation an.
- Navigieren Sie zu Organisationseinstellungen (Organization Settings), indem Sie auf das Zahnradsymbol in der unteren linken Ecke klicken.
- Wählen Sie im Bereich Sicherheit (Security) die Option Richtlinien (Policies) aus.
- Setzen Sie den Schalter "Öffentliche Erweiterungen zulassen" (Allow public extensions) auf Aus (Off).
- Klicken Sie auf Speichern (Save), um die Änderung zu übernehmen.
Compliance
- Framework: Sonstige