Limit job authorization scope to current project for classic release pipelines.
Por Qué Es Importante
Restringir la autorización de trabajos al ámbito del proyecto actual es un control de seguridad clave para las canalizaciones de lanzamiento clásicas en Azure DevOps. Sin este límite, un trabajo de canalización podría acceder potencialmente a recursos en varios proyectos, aumentando el riesgo de movimiento lateral o acceso no autorizado en caso de una vulneración de la canalización. Los administradores deben aplicar esta configuración para mantener una postura de seguridad de privilegios mínimos y reducir la superficie de ataque dentro de su organización de Azure DevOps.
Qué Comprueba Aether365
Aether365 verifica que el ámbito de autorización de trabajos esté limitado al proyecto actual para todas las canalizaciones de lanzamiento clásicas. Esta comprobación aparece en su panel de Aether365 bajo las comprobaciones de seguridad de microsoft-365, ayudando a garantizar que sus entornos de Azure DevOps se alineen con las mejores prácticas de seguridad.
Cómo Solucionarlo
- Inicie sesión en su organización de Azure DevOps y navegue hasta el proyecto que contiene la canalización de lanzamiento clásica.
- Vaya a Project Settings (icono de engranaje) y seleccione Agent Pools en la sección Pipelines.
- Localice el grupo de agentes utilizado por su canalización de lanzamiento (normalmente el grupo predeterminado) y selecciónelo.
- Haga clic en la pestaña Settings y asegúrese de que la casilla "Limit job authorization scope to current project" esté habilitada para todos los ámbitos de autorización de trabajos.
- Guarde los cambios y repita estos pasos para cada combinación de proyecto y grupo de agentes utilizada por las canalizaciones de lanzamiento clásicas.
Cumplimiento
- Marco de referencia: Otros (mejores prácticas de seguridad de Azure DevOps)
- Sin marcos de cumplimiento específicos (N/A)