Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Additional protections when using public package registries.

Por que Isso é Importante

Registros públicos de pacotes, como npm, PyPI ou NuGet, podem expor seus pipelines do Azure DevOps a riscos na cadeia de suprimentos se não forem configurados corretamente. Sem proteções adicionais, pacotes maliciosos ou comprometidos de fontes públicas podem introduzir vulnerabilidades ou backdoors em seus artefatos de build. A aplicação de salvaguardas garante que apenas pacotes confiáveis sejam consumidos, reduzindo a superfície de ataque para seus fluxos de trabalho de CI/CD.

O Que o Aether365 Verifica

Esta verificação confirma se seu ambiente do Azure DevOps possui proteções adicionais habilitadas para uso de registros públicos de pacotes, como fontes upstream ou lista de permissões de pacotes. Ela aparece no painel do Aether365 sob a categoria de verificações do microsoft-365, sinalizada como um achado de gravidade Média.

Como Corrigir

  1. Faça login em sua organização do Azure DevOps e navegue até Project Settings.
  2. Em Pipelines, selecione Settings (ou Service connections se estiver gerenciando conexões).
  3. Localize a seção Package sources ou Public package registries e confirme que as proteções adicionais (por exemplo, fontes upstream, lista de permissões de pacotes ou integrações de varredura) estão habilitadas.
  4. Se ainda não estiver configurado, habilite proteções como:
    • Uso de fontes upstream do Azure Artifacts para armazenar em cache e examinar pacotes.
    • Configuração de uma lista de permissões de pacotes para restringir quais pacotes públicos podem ser usados.
    • Integração de um scanner de vulnerabilidades de pacotes, como GitHub Dependabot ou Azure Defender.
  5. Teste seu pipeline para garantir que as alterações não quebrem builds existentes e, em seguida, execute novamente a varredura do Aether365 para confirmar que a verificação passa.

Se seu ambiente não suportar essas proteções específicas, consulte sua equipe de segurança para mitigações alternativas (por exemplo, usar feeds privados exclusivamente).

Conformidade

  • Framework: Outros (esta verificação não mapeia para um padrão de conformidade específico por padrão, mas oferece suporte a práticas gerais de segurança na cadeia de suprimentos)

Recursos Relacionados

Esta página foi útil?

© 2026 Aether365. All rights reserved.