Limit building pull requests from forked GitHub repositories.

Prečo je to dôležité

Obmedzenie zostáv z pull requestov z forknutých GitHub repozitárov je kľúčové na zabránenie neautorizovanej injekcii kódu do vášho CI/CD pipeline. Zlomyseľní aktéri môžu odoslať pull requesty z forknutých repozitárov obsahujúcich škodlivý kód, ktorý sa spustí počas automatizovaných zostáv, čo môže ohroziť celé vaše prostredie Microsoft 365. Bez tohto obmedzenia riskujete odhalenie citlivých údajov alebo nasadenie manipulovaných artefaktov.

Čo Aether365 kontroluje

Táto kontrola overuje, či nastavenia vášho Azure DevOps pipeline obmedzujú automatické zostavy pre pull requesty pochádzajúce z forknutých GitHub repozitárov. V dashboarde Aether365 sa zobrazuje pod microsoft-365 checks ako AZDO.1022 a označuje konfigurácie, kde je toto bezpečnostné opatrenie vypnuté.

Ako to opraviť

1. Prihláste sa do svojej organizácie Azure DevOps a prejdite do svojho projektu.
2. Prejdite do Project Settings a potom vyberte Repositories.
3. Vyberte repozitár pripojený k GitHubu a kliknite na kartu Policies.
4. V časti "Pull request validation" nájdite nastavenie "Limit fork builds".
5. Povoľte možnosť "Limit fork builds to only the following users" a zadajte schválených používateľov alebo skupiny.
6. Uložte zmeny na vynútenie tohto obmedzenia.

Súlad

• Iné: Táto kontrola je v súlade so všeobecnými bezpečnostnými osvedčenými postupmi pre posilnenie CI/CD pipeline, hoci ju nevyžaduje žiadny konkrétny rámec zhody.

Súvisiace zdroje

• Azure DevOps: Manage build policies for forked repositories
• Security hardening for Azure Pipelines