Limit job authorization scope to current project for non-release pipelines.
Por Que Es Importante
Cuando el alcance de la autorización de trabajos no se limita al proyecto actual en canalizaciones que no son de publicación, un trabajo de canalización podría acceder potencialmente a recursos de múltiples proyectos dentro de su organización de Azure DevOps. Esto amplía la superficie de ataque, ya que una canalización comprometida en un proyecto podría aprovechar permisos elevados para manipular secretos o configuraciones en otros proyectos. Los administradores deben preocuparse porque restringir el alcance al proyecto actual aplica el principio de privilegio mínimo, reduciendo el riesgo de movimiento lateral y acceso no autorizado a recursos.
Que Verifica Aether365
Aether365 verifica que las canalizaciones que no son de publicación tengan su alcance de autorización de trabajos limitado solo al proyecto actual. Esta verificación aparece en el panel de Aether365 bajo las comprobaciones de seguridad de microsoft-365, señalando cualquier canalización donde el alcance esté configurado como "organización actual" o un alcance más amplio.
Como Solucionarlo
- Inicie sesión en su organización de Azure DevOps y navegue al proyecto que contiene la canalización que no es de publicación.
- Vaya a Project Settings (icono de engranaje) y seleccione Pipelines y luego Settings.
- En la sección "Job authorization scope", asegúrese de que la opción "Limit job authorization scope to current project" esté habilitada para el proyecto.
- Para cada canalización existente que no sea de publicación, edite el YAML de la canalización o la configuración del editor clásico para restringir explícitamente el alcance de la autorización del trabajo al proyecto.
- Guarde y ponga en cola una nueva ejecución para verificar que la restricción se haya aplicado.
Cumplimiento
- Esta comprobación de seguridad se alinea con las mejores prácticas de seguridad de Azure DevOps (no se enumera un marco específico como fuente de datos).