Защита частного агента сборки в VSTS

Я использую VSTS и частный агент сборки, и я хочу убедиться, что я не открываю свою организацию для атаки. Конвейер сборки и развертывания позволяет сценариям Powershell выполнять посылку. Чтобы защитить от хакеров, я сделал следующее

  • Ограниченный доступ к учетной записи службы, которая запускает агент сборки VSTS
  • Limited, которые могут ссылаться на сборку или развертывание
  • Избегайте выполнения сценариев как часть сборки, находящейся в git

Мы связали наш внутренний каталог Active с VSTS, что означает, что у нас есть один знак внутри нашей организации.

Мой вопрос в том, что еще я могу сделать, чтобы защитить свои конвейеры сборки и выпуска? Существуют ли инструменты или скрипты, которые можно использовать для мониторинга скриптов сборки и их использования?

security,azure-devops,azure-pipelines,azure-pipelines-release-pipeline,

0

Ответов: 1


0 принят

Вы можете установить разрешения с двумя аспектами, чтобы сделать вашу сборку / выпуск и конфиденциальный агент безопасным:

  1. Установка разрешений для определений сборки / выпуска

    Нажмите a€¦кнопку для определения сборки / выпуска -> Безопасность -> установить дополнительные разрешения для групп или пользователей -> Сохранить изменения.

  2. Установить разрешения для агента

    Вы также можете установить разные роли для групп и пользователей для очередей агентов и пулов агентов.

Более подробно вы можете ссылаться на документ. Установите права на сборку и выпуск .

безопасность, лазурь-DevOps, лазурные-трубопроводы, лазурные-трубопроводы-релиз-трубопровод,
Похожие вопросы