Limit building pull requests from forked GitHub repositories.
Varför detta är viktigt
Att begränsa pull request-byggen från forcerade GitHub-förråd är avgörande för att förhindra obehörig kodinjektion i din CI/CD-pipeline. Skadliga aktörer kan skicka pull requests från forcerade förråd som innehåller skadlig kod som körs under automatiska byggen, vilket potentiellt kan äventyra hela din Microsoft 365-miljö. Utan denna begränsning riskerar du att exponera känsliga data eller distribuera manipulerade artefakter.
Vad Aether365 kontrollerar
Denna kontroll verifierar att dina Azure DevOps-pipelineinställningar begränsar automatiska byggen för pull requests som kommer från forcerade GitHub-förråd. Den visas i Aether365-instrumentpanelen under microsoft-365-kontroller som AZDO.1022 och flaggar konfigurationer där denna säkerhetskontroll är inaktiverad.
Så här åtgärdar du
- Logga in på din Azure DevOps-organisation och navigera till ditt projekt.
- Gå till Project Settings och välj sedan Repositories.
- Välj det förråd som är anslutet till GitHub och klicka på fliken Policies.
- Under "Pull request validation" letar du reda på inställningen "Limit fork builds".
- Aktivera alternativet "Limit fork builds to only the following users" och ange godkända användare eller grupper.
- Spara ändringarna för att tillämpa begränsningen.
Efterlevnad
- Övrigt: Denna kontroll är i linje med allmänna säkerhetsbästa praxis för härdning av CI/CD-pipelines, även om inget specifikt efterlevnadsramverk kräver den.