Aether365

Latviešu

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Latviešu

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Kāpēc tas ir svarīgi

Publiski pakotņu reģistri, piemēram, npm, PyPI vai NuGet, var pakļaut jūsu Azure DevOps cauruļvadus piegādes ķēdes riskiem, ja tie nav pareizi konfigurēti. Bez papildu aizsardzības ļaunprātīgas vai apdraudētas pakotnes no publiskiem avotiem varētu ievadīt ievainojamības vai aizmugures durvis jūsu būvējumu artefaktos. Aizsardzības pasākumu ieviešana nodrošina, ka tiek izmantotas tikai uzticamas pakotnes, samazinot uzbrukuma virsmu jūsu CI/CD darbplūsmām.

Ko pārbauda Aether365

Šī pārbaude nosaka, vai jūsu Azure DevOps vidē ir iespējoti papildu aizsardzības pasākumi publisku pakotņu reģistru lietošanai, piemēram, augšupstraumes avoti vai pakotņu atļaušanas saraksts. Tā parādās Aether365 informācijas panelī zem microsoft-365 pārbaužu kategorijas, atzīmēta kā vidējas nozīmības atradums.

Kā novērst

  1. Piesakieties savā Azure DevOps organizācijā un dodieties uz Project Settings.
  2. Sadaļā Pipelines atlasiet Settings (vai Service connections, ja pārvaldāt savienojumus).
  3. Atrodiet sadaļu Package sources vai Public package registries un pārliecinieties, ka ir iespējoti papildu aizsardzības pasākumi (piemēram, augšupstraumes avoti, pakotņu atļaušanas saraksts vai skenēšanas integrācijas).
  4. Ja vēl nav konfigurēts, iespējojiet tādus aizsardzības pasākumus kā:
    • Azure Artifacts augšupstraumes avotu izmantošana pakotņu kešošanai un pārbaudei.
    • Pakotņu atļaušanas saraksta konfigurēšana, lai ierobežotu, kuras publiskās pakotnes drīkst izmantot.
    • Pakotņu ievainojamību skenera, piemēram, GitHub Dependabot vai Azure Defender, integrēšana.
  5. Pārbaudiet savu cauruļvadu, lai pārliecinātos, ka izmaiņas nesalauž esošos būvējumus, pēc tam atkārtoti palaidiet Aether365 skenēšanu, lai apstiprinātu, ka pārbaude ir nokārtota.

Ja jūsu vide neatbalsta šos specifiskos aizsardzības pasākumus, konsultējieties ar savu drošības komandu par alternatīviem risinājumiem (piemēram, izmantojot tikai privātās plūsmas).

Atbilstība

  • Pamatnostādne: Cita (šī pārbaude pēc noklusējuma neatbilst konkrētam atbilstības standartam, bet tā atbalsta vispārējas piegādes ķēdes drošības prakses)

Saistītie resursi

Vai šī lapa bija noderīga?

© 2026 Aether365. All rights reserved.