在 VSTS 中保护私有构建代理

【问题标题】:Securing a Private Build Agent in VSTS在 VSTS 中保护私有构建代理
【发布时间】:2018-07-05 06:30:35
【问题描述】:

我正在使用 VSTS 和私有构建代理,并且我想确保我不会让我的组织受到攻击。构建和部署管道允许 Powershell 脚本在本地执行。为了防止黑客攻击,我做了以下操作

  • 限制了运行 VSTS 构建代理的服务帐户的访问权限
  • 可以调用构建或部署的人员受到限制
  • 避免在 git 中执行脚本作为构建的一部分

我们已将内部 Active Directory 链接到 VSTS,这意味着我们可以从组织内部进行单点登录。

我的问题是我还能做些什么来保护我的构建和发布管道?是否有可用于监控构建脚本的工具或脚本?

【问题讨论】:

    标签: security azure-devops azure-pipelines azure-pipelines-release-pipeline


    【解决方案1】:

    您可以从两个方面设置权限,以确保您的构建/发布和私有代理的安全:

    1. 为构建/发布定义设置权限

      单击 按钮以获取构建/发布定义 -> 安全性 -> 设置组或用户的详细权限 -> 保存更改。

    2. 为代理设置权限

      您还可以为代理队列和代理池的组和用户设置不同的角色。

    更多详情,可以参考文档Set build and release permissions

    【讨论】:

    • 感谢您的精彩回答。我正在考虑其他措施,例如将 IP 范围限制为仅内部地址,也许在构建或部署定义发生更改时发出警报等。您还有其他想法可以跟进吗?
    • @AgentBristow 构建/发布定义更改时没有此类通知。但是您可以将构建/发布定义与原始版本进行比较或还原。详细信息为:构建/发布定义 -> 历史选项卡 -> 比较差异或恢复到旧版本(例如ibb.co/kh1XsT)。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-05-24
    • 1970-01-01
    • 1970-01-01
    • 2016-10-24
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode