Limit job authorization scope to current project for non-release pipelines.
Kāpēc tas ir svarīgi
Ja darba autorizācijas tvērums nav ierobežots tikai ar pašreizējo projektu neizlaišanas caurulēm (non-release pipelines), caurules (pipeline) darbs var piekļūt resursiem vairākos projektos jūsu Azure DevOps organizācijā. Tas paplašina uzbrukuma virsmu, jo apdraudēta caurule vienā projektā var izmantot paaugstinātas atļaujas, lai manipulētu ar noslēpumiem vai konfigurācijām citos projektos. Administratoriem būtu jāuztraucas, jo tvēruma ierobežošana tikai ar pašreizējo projektu īsteno mazāko privilēģiju principu, samazinot horizontālās pārvietošanās un nesankcionētas resursu piekļuves risku.
Ko pārbauda Aether365
Aether365 pārbauda, vai neizlaišanas caurulēm darba autorizācijas tvērums ir ierobežots tikai ar pašreizējo projektu. Šī pārbaude ir redzama Aether365 informācijas panelī sadaļā microsoft-365 security checks, iezīmējot visas caurules, kur tvērums ir iestatīts uz "current organization" vai plašāku tvērumu.
Kā novērst
- Piesakieties savā Azure DevOps organizācijā un dodieties uz projektu, kas satur neizlaišanas cauruli.
- Atveriet Project Settings (zobrata ikona) un izvēlieties Pipelines, pēc tam Settings.
- Sadaļā "Job authorization scope" pārliecinieties, vai opcija "Limit job authorization scope to current project" ir iespējota šim projektam.
- Katrai esošajai neizlaišanas caurulei rediģējiet YAML vai klasiskā redaktora iestatījumus, lai skaidri ierobežotu darba autorizācijas tvērumu ar projektu.
- Saglabājiet un ievietojiet rindā jaunu izpildi, lai pārbaudītu, vai ierobežojums ir piemērots.
Atbilstība
- Šī drošības pārbaude atbilst Azure DevOps drošības paraugpraksei (avota datos nav norādīts konkrēts ietvars).