Limit job authorization scope to current project for non-release pipelines.
Zakaj je to pomembno
Ko obseg pooblastila za nalogo ni omejen na trenutni projekt za cevovode, ki niso namenjeni izdaji, lahko naloga v cevovodu potencialno dostopa do virov v več projektih znotraj vaše organizacije Azure DevOps. To razširi napadalno površino, saj bi ogrožen cevovod v enem projektu lahko izkoristil povišana dovoljenja za poseganje v skrivnosti ali konfiguracije v drugih projektih. Skrbniki bi morali biti pozorni, ker omejevanje obsega na trenutni projekt uveljavlja načelo najmanjših privilegijev in zmanjšuje tveganje za bočno premikanje ter nepooblaščen dostop do virov.
Kaj preverja Aether365
Aether365 preverja, ali imajo cevovodi, ki niso namenjeni izdaji, obseg pooblastila za nalogo omejen izključno na trenutni projekt. To preverjanje je prikazano na nadzorni plošči Aether365 pod varnostnimi preverjanji za microsoft-365 in označuje vse cevovode, kjer je obseg nastavljen na "current organization" ali širši obseg.
Kako odpraviti težavo
- Prijavite se v svojo organizacijo Azure DevOps in se pomaknite do projekta, ki vsebuje cevovod, ki ni namenjen izdaji.
- Pojdite na Project Settings (ikona zobnika) in izberite Pipelines, nato Settings.
- V razdelku "Job authorization scope" zagotovite, da je možnost "Limit job authorization scope to current project" omogočena za projekt.
- Za vsak obstoječi cevovod, ki ni namenjen izdaji, uredite YAML cevovoda ali nastavitve v klasičnem urejevalniku tako, da izrecno omejite obseg pooblastila za nalogo na projekt.
- Shranite in postavite v čakalno vrsto nov zagon, da preverite, ali je omejitev uveljavljena.
Skladnost
- To varnostno preverjanje je usklajeno z najboljšimi praksami za varnost Azure DevOps (v izvornih podatkih ni navedenega posebnega okvira).