Limit building pull requests from forked GitHub repositories.
Zakaj je to pomembno
Omejevanje gradbenih procesov za zahteve za prevzem (pull requests) iz razcepljenih (forked) GitHub repozitorijev je ključno za preprečevanje nepooblaščenega vstavljanja kode v vašo CI/CD cevovod. Zlonamerni akterji bi lahko oddali zahteve za prevzem iz razcepljenih repozitorijev, ki vsebujejo škodljivo kodo, ki se izvede med avtomatiziranimi gradbenimi procesi, kar bi lahko ogrozilo celotno okolje Microsoft 365. Brez te omejitve tvegate izpostavitev občutljivih podatkov ali uvedbo spremenjenih artefaktov.
Kaj preverja Aether365
To preverjanje ugotavlja, ali vaše nastavitve Azure DevOps cevovoda omejujejo avtomatizirane gradnje za zahteve za prevzem, ki izvirajo iz razcepljenih GitHub repozitorijev. Pojavi se na nadzorni plošči Aether365 pod microsoft-365 preverjanji kot AZDO.1022 in označi konfiguracije, kjer je ta varnostni nadzor onemogočen.
Kako odpraviti težavo
- Prijavite se v svojo organizacijo Azure DevOps in pojdite na svoj projekt.
- Pojdite na Project Settings, nato izberite Repositories.
- Izberite repozitorij, povezan z GitHubom, in kliknite zavihek Policies.
- Pod "Pull request validation" poiščite nastavitev "Limit fork builds".
- Omogočite možnost "Limit fork builds to only the following users" in določite odobrene uporabnike ali skupine.
- Shranite spremembe, da uveljavite omejitev.
Skladnost
- Drugo: To preverjanje je usklajeno s splošnimi najboljšimi varnostnimi praksami za utrjevanje CI/CD cevovodov, čeprav ga noben poseben okvir skladnosti ne zahteva.
Povezani viri
- Azure DevOps: Upravljanje gradbenih pravilnikov za razcepljene repozitorije
- Varnostno utrjevanje za Azure Pipelines