Aether365

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Perché è Importante

I registri di pacchetti pubblici, come npm, PyPI o NuGet, possono esporre le pipeline di Azure DevOps a rischi per la catena di approvvigionamento se non configurati correttamente. Senza protezioni aggiuntive, pacchetti dannosi o compromessi provenienti da fonti pubbliche potrebbero introdurre vulnerabilità o backdoor negli artefatti di compilazione. Applicare salvaguardie garantisce che vengano consumati solo pacchetti attendibili, riducendo la superficie di attacco per i flussi di lavoro CI/CD.

Cosa Controlla Aether365

Questo controllo verifica se l'ambiente Azure DevOps ha attivate protezioni aggiuntive per l'uso di registri di pacchetti pubblici, come origini upstream o elenchi di pacchetti consentiti. Appare nel dashboard di Aether365 nella categoria dei controlli microsoft-365, segnalato come risultato di gravità Media.

Come Risolvere

  1. Accedi all'organizzazione Azure DevOps e vai su Project Settings.
  2. Sotto Pipelines, seleziona Settings (o Service connections se gestisci le connessioni).
  3. Individua la sezione per Package sources o Public package registries e conferma che le protezioni aggiuntive (ad esempio origini upstream, elenchi di pacchetti consentiti o integrazioni di scansione) siano abilitate.
  4. Se non già configurate, abilita protezioni come:
    • Utilizzo di origini upstream di Azure Artifacts per memorizzare nella cache e verificare i pacchetti.
    • Configurazione di un elenco di pacchetti consentiti per limitare quali pacchetti pubblici possono essere utilizzati.
    • Integrazione di uno scanner di vulnerabilità dei pacchetti come GitHub Dependabot o Azure Defender.
  5. Testa la pipeline per assicurarti che le modifiche non interrompano le build esistenti, quindi esegui nuovamente la scansione Aether365 per confermare che il controllo sia superato.

Se il tuo ambiente non supporta queste protezioni specifiche, consulta il team di sicurezza per mitigazioni alternative (ad esempio, utilizzare esclusivamente feed privati).

Conformità

  • Framework: Altro (questo controllo non mappa a uno standard di conformità specifico per impostazione predefinita, ma supporta pratiche generali di sicurezza per la catena di approvvigionamento)

Risorse Correlate

Questa pagina ti è stata utile?

© 2026 Aether365. All rights reserved.