Limit building pull requests from forked GitHub repositories.
Чому це важливо
Обмеження збірок pull request з форкнутих репозиторіїв GitHub є критичним для запобігання несанкціонованому впровадженню коду у вашому конвеєрі CI/CD. Зловмисники можуть надсилати pull requests з форків, що містять шкідливий код, який виконується під час автоматизованих збірок, що потенційно може скомпрометувати все ваше середовище Microsoft 365. Без цього обмеження ви ризикуєте витоком конфіденційних даних або розгортанням підроблених артефактів.
Що перевіряє Aether365
Ця перевірка встановлює, чи налаштування конвеєра Azure DevOps обмежують автоматизовані збірки для pull requests, створених з форкнутих репозиторіїв GitHub. Вона відображається в панелі Aether365 у розділі microsoft-365 перевірок як AZDO.1022 і позначає конфігурації, де цей засіб безпеки вимкнено.
Як виправити
- Увійдіть до своєї організації Azure DevOps та перейдіть до свого проекту.
- Перейдіть до Project Settings, потім виберіть Repositories.
- Виберіть репозиторій, підключений до GitHub, і натисніть вкладку Policies.
- У розділі "Pull request validation" знайдіть налаштування "Limit fork builds".
- Увімкніть опцію "Limit fork builds to only the following users" та вкажіть дозволених користувачів або групи.
- Збережіть зміни, щоб забезпечити виконання обмеження.
Відповідність вимогам
- Інше: Ця перевірка узгоджується з загальними найкращими практиками безпеки для посилення конвеєра CI/CD, хоча жодна конкретна структура відповідності не вимагає цього.
Пов'язані ресурси
- Azure DevOps: Керування політиками збірок для форкнутих репозиторіїв
- Посилення безпеки для Azure Pipelines