Limit job authorization scope to current project for non-release pipelines.
Por que Isso é Importante
Quando o escopo de autorização de trabalho não é limitado ao projeto atual para pipelines que não são de liberação, um trabalho de pipeline pode potencialmente acessar recursos em vários projetos dentro da sua organização do Azure DevOps. Isso amplia a superfície de ataque, pois um pipeline comprometido em um projeto pode usar permissões elevadas para adulterar segredos ou configurações em outros projetos. Os administradores devem se importar porque restringir o escopo ao projeto atual aplica o princípio do menor privilégio, reduzindo o risco de movimento lateral e acesso não autorizado a recursos.
O que o Aether365 Verifica
O Aether365 verifica se pipelines que não são de liberação têm seu escopo de autorização de trabalho restrito apenas ao projeto atual. Essa verificação aparece no painel do Aether365 na seção de verificações de segurança do Microsoft 365, sinalizando quaisquer pipelines onde o escopo esteja definido como "organização atual" ou um escopo mais amplo.
Como Corrigir
- Faça login na sua organização do Azure DevOps e navegue até o projeto que contém o pipeline que não é de liberação.
- Vá para Project Settings (ícone de engrenagem) e selecione Pipelines e depois Settings.
- Na seção "Job authorization scope", certifique-se de que a opção "Limit job authorization scope to current project" esteja habilitada para o projeto.
- Para cada pipeline existente que não é de liberação, edite o YAML do pipeline ou as configurações do editor clássico para restringir explicitamente o escopo de autorização de trabalho ao projeto.
- Salve e coloque uma nova execução na fila para verificar se a restrição foi aplicada.
Conformidade
- Esta verificação de segurança está alinhada com as melhores práticas para segurança do Azure DevOps (nenhuma estrutura específica listada como fonte de dados).