Limit job authorization scope to current project for non-release pipelines.
Perché è Importante
Quando l'ambito di autorizzazione del job non è limitato al progetto corrente per le pipeline non di rilascio, un job della pipeline potrebbe potenzialmente accedere a risorse in più progetti all'interno dell'organizzazione Azure DevOps. Ciò amplia la superficie di attacco, poiché una pipeline compromessa in un progetto potrebbe sfruttare autorizzazioni elevate per manomettere segreti o configurazioni in altri progetti. Gli amministratori dovrebbero preoccuparsene perché limitare l'ambito al progetto corrente applica il principio del privilegio minimo, riducendo il rischio di movimento laterale e accesso non autorizzato alle risorse.
Cosa Controlla Aether365
Aether365 verifica che le pipeline non di rilascio abbiano l'ambito di autorizzazione del job limitato esclusivamente al progetto corrente. Questo controllo appare nel dashboard di Aether365 sotto i controlli di sicurezza di Microsoft 365, segnalando tutte le pipeline in cui l'ambito è impostato su "organizzazione corrente" o un ambito più ampio.
Come Risolvere
- Accedi alla tua organizzazione Azure DevOps e vai al progetto che contiene la pipeline non di rilascio.
- Vai su Project Settings (icona ingranaggio) e seleziona Pipelines, quindi Settings.
- Nella sezione "Job authorization scope", assicurati che l'opzione "Limit job authorization scope to current project" sia abilitata per il progetto.
- Per ogni pipeline non di rilascio esistente, modifica il file YAML della pipeline o le impostazioni dell'editor classico per limitare esplicitamente l'ambito di autorizzazione del job al progetto.
- Salva e accoda una nuova esecuzione per verificare che la restrizione sia applicata.
Conformità
- Questo controllo di sicurezza è in linea con le best practice per la sicurezza di Azure DevOps (nessun framework specifico elencato come fonte dati).