Limit job authorization scope to current project for non-release pipelines.
Miksi Tämä on Tärkeää
Kun työnvaltuutusten laajuutta ei ole rajoitettu nykyiseen projektiin muissa kuin release-pipelineissa, pipeline-työ saattaa päästä käsiksi resursseihin useissa projekteissa Azure DevOps -organisaatiosi sisällä. Tämä laajentaa hyökkäyspintaa, sillä vaarantunut pipeline yhdessä projektissa voi hyödyntää korotettuja käyttöoikeuksia peukaloidakseen salaisuuksia tai konfiguraatioita muissa projekteissa. Järjestelmänvalvojien tulisi huolehtia tästä, koska laajuuden rajoittaminen nykyiseen projektiin toteuttaa vähimmän oikeuden periaatetta, vähentäen lateraalisen liikkeen ja luvattoman resurssien käytön riskiä.
Mitä Aether365 Tarkistaa
Aether365 varmistaa, että muiden kuin release-pipelineiden työnvaltuutusten laajuus on rajoitettu vain nykyiseen projektiin. Tämä tarkistus näkyy Aether365-hallintapaneelissa Microsoft 365 -turvallisuustarkistusten alla, ja se merkitsee kaikki pipelinet, joissa laajuudeksi on asetettu "nykyinen organisaatio" tai laajempi laajuus.
Korjaustoimenpiteet
- Kirjaudu sisään Azure DevOps -organisaatioosi ja siirry projektiin, joka sisältää muun kuin release-pipelinesi.
- Siirry kohtaan Projektiasetukset (hammasrataskuvake) ja valitse Pipelinet, sitten Settings.
- Varmista "Työnvaltuutusten laajuus" -osiossa, että vaihtoehto "Rajoita työnvaltuutusten laajuus nykyiseen projektiin" on käytössä projektille.
- Muokkaa kunkin olemassa olevan muun kuin release-pipelinesi pipeline YAML- tai klassista editoriasetuksia rajoittaaksesi työnvaltuutusten laajuus nimenomaisesti projektiin.
- Tallenna ja aseta uusi ajo jonoon varmistaaksesi, että rajoitus on otettu käyttöön.
Vaatimustenmukaisuus
- Tämä turvallisuustarkistus noudattaa Azure DevOps -turvallisuuden parhaita käytäntöjä (lähdedatana ei ole määriteltyä erityistä viitekehystä).