Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Por qué es importante

Los repositorios de paquetes públicos, como npm, PyPI o NuGet, pueden exponer tus canalizaciones de Azure DevOps a riesgos en la cadena de suministro si no están configurados correctamente. Sin protecciones adicionales, los paquetes maliciosos o comprometidos de fuentes públicas podrían introducir vulnerabilidades o puertas traseras en tus artefactos de compilación. Implementar medidas de seguridad garantiza que solo se consuman paquetes confiables, reduciendo la superficie de ataque para tus flujos de trabajo de CI/CD.

Qué comprueba Aether365

Esta comprobación verifica si tu entorno de Azure DevOps tiene habilitadas protecciones adicionales para usar repositorios de paquetes públicos, como fuentes upstream o listas blancas de paquetes. Aparece en el panel de Aether365 bajo la categoría de comprobaciones de microsoft-365, marcado como un hallazgo de gravedad Media.

Cómo corregirlo

  1. Inicia sesión en tu organización de Azure DevOps y navega a Project Settings.
  2. En Pipelines, selecciona Settings (o Service connections si gestionas conexiones).
  3. Localiza la sección de Package sources o Public package registries y confirma que las protecciones adicionales (por ejemplo, fuentes upstream, listas blancas de paquetes o integraciones de escaneo) están habilitadas.
  4. Si no están configuradas, habilita protecciones como:
    • Usar fuentes upstream de Azure Artifacts para almacenar en caché y verificar paquetes.
    • Configurar una lista blanca de paquetes para restringir qué paquetes públicos se pueden usar.
    • Integrar un escáner de vulnerabilidades de paquetes como GitHub Dependabot o Azure Defender.
  5. Prueba tu canalización para asegurarte de que los cambios no rompan las compilaciones existentes y luego vuelve a ejecutar el escaneo de Aether365 para confirmar que la comprobación pasa.

Si tu entorno no admite estas protecciones específicas, consulta con tu equipo de seguridad para mitigaciones alternativas (por ejemplo, usar feeds privados exclusivamente).

Cumplimiento

  • Marco: Otros (esta comprobación no se asigna a un estándar de cumplimiento específico de forma predeterminada, pero respalda las prácticas generales de seguridad en la cadena de suministro)

Recursos relacionados

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.