Limit building pull requests from forked GitHub repositories.
Hvorfor dette er viktig
Å begrense pull request-bygg fra forked GitHub-repositorier er avgjørende for å forhindre uautorisert kodeinjeksjon i CI/CD-pipelinen din. Ondsinnede aktører kan sende pull requests fra forks som inneholder skadelig kode som blir utført under automatiserte bygg, noe som potensielt kan kompromittere hele Microsoft 365-miljøet ditt. Uten denne begrensningen risikerer du å eksponere sensitive data eller distribuere tuklede artefakter.
Hva Aether365 sjekker
Denne sjekken verifiserer at Azure DevOps-pipelineinnstillingene dine begrenser automatiserte bygg for pull requests som kommer fra forked GitHub-repositorier. Den vises i Aether365-dashbordet under microsoft-365-sjekker som AZDO.1022 og flagger konfigurasjoner der denne sikkerhetskontrollen er deaktivert.
Slik utbedrer du
- Logg på Azure DevOps-organisasjonen din og naviger til prosjektet ditt.
- Gå til Project Settings, og velg deretter Repositories.
- Velg repositoriet som er koblet til GitHub, og klikk på Policies-fanen.
- Under "Pull request validation" finner du innstillingen "Limit fork builds".
- Aktiver alternativet "Limit fork builds to only the following users" og spesifiser godkjente brukere eller grupper.
- Lagre endringene for å håndheve begrensningen.
Samsvar
- Annet: Denne sjekken er i tråd med generelle sikkerhetsbeste praksiser for herding av CI/CD-pipelinen, selv om ingen spesifikk samsvarsrammeverk krever det.