Aether365

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Pourquoi c'est important

Les registres de packages publics, tels que npm, PyPI ou NuGet, peuvent exposer vos pipelines Azure DevOps à des risques liés à la chaîne d'approvisionnement s'ils ne sont pas correctement configurés. Sans protections supplémentaires, des packages malveillants ou compromis provenant de sources publiques pourraient introduire des vulnérabilités ou des portes dérobées dans vos artefacts de build. L'application de mesures de sécurité garantit que seuls les packages de confiance sont consommés, réduisant ainsi la surface d'attaque de vos workflows CI/CD.

Ce que vérifie Aether365

Cette vérification confirme si votre environnement Azure DevOps dispose de protections supplémentaires activées pour l'utilisation des registres de packages publics, telles que les sources en amont ou la liste blanche de packages. Elle apparaît dans le tableau de bord Aether365 sous la catégorie des vérifications microsoft-365, signalée comme un résultat de gravité moyenne.

Comment corriger

  1. Connectez-vous à votre organisation Azure DevOps et accédez à Project Settings.
  2. Sous Pipelines, sélectionnez Settings (ou Service connections si vous gérez les connexions).
  3. Localisez la section Package sources ou Public package registries et confirmez que des protections supplémentaires (par exemple, sources en amont, liste blanche de packages ou intégrations de scan) sont activées.
  4. Si ce n'est pas déjà fait, activez des protections telles que :
    • Utiliser les sources en amont d'Azure Artifacts pour mettre en cache et vérifier les packages.
    • Configurer une liste blanche de packages pour restreindre les packages publics pouvant être utilisés.
    • Intégrer un scanner de vulnérabilités de packages comme GitHub Dependabot ou Azure Defender.
  5. Testez votre pipeline pour vous assurer que les modifications ne cassent pas les builds existants, puis relancez l'analyse Aether365 pour confirmer que la vérification est réussie.

Si votre environnement ne prend pas en charge ces protections spécifiques, consultez votre équipe de sécurité pour des mesures d'atténuation alternatives (par exemple, utiliser exclusivement des flux privés).

Conformité

  • Cadre : Autre (cette vérification ne correspond pas à une norme de conformité spécifique par défaut, mais elle soutient les pratiques générales de sécurité de la chaîne d'approvisionnement)

Ressources associées

Cette page vous a-t-elle été utile ?

© 2026 Aether365. All rights reserved.