Anonymous access to pipeline badges.
Zakaj je to pomembno
Anonimni dostop do značk (badges) cevovodov v Azure DevOps lahko razkrije občutljive informacije o gradnji in izdajah vsakomur brez avtentikacije. To ustvarja tveganje razkritja informacij, kjer lahko zunanje osebe vidijo stanje cevovodov, podrobnosti o potrditvah in druge metapodatke, ki bi lahko pomagali pri ciljanju vaše organizacije. IT skrbniki naj onemogočijo anonimni dostop, da ohranijo nadzor nad tem, kdo si lahko ogleda aktivnost cevovodov.
Kaj preverja Aether365
Aether365 pregleda vaše Microsoft 365 okolje (pod razdelkom microsoft-365 checks v nadzorni plošči), da preveri, ali je anonimni dostop do značk cevovodov omogočen. Preverjanje vrne opozorilo srednje resnosti, če je anonimni dostop dovoljen.
Kako popraviti
- Prijavite se v svojo Azure DevOps organizacijo (https://dev.azure.com/{organization}).
- Pojdite na Organization Settings (ikona zobnika) > Pipelines > Settings.
- Pod "General" poiščite možnost "Anonymous access to badges" in jo nastavite na "Off".
- Shranite spremembe, da onemogočite anonimni dostop do značk za vse projekte v organizaciji.
Skladnost
- Drugo: To preverjanje je v skladu s splošnimi najboljšimi praksami za omejevanje anonimnega razkritja podatkov v CI/CD cevovodih.