Azure DevOps 管道构建和发布日志如何锁定到特定组？答案

【问题标题】：How can Azure DevOps pipeline build and release logs be locked down to a specific group?Azure DevOps 管道构建和发布日志如何锁定到特定组？
【发布时间】：2021-08-09 18:20:52
【问题描述】：

背景：

我们的团队已从代码和配置文件中删除敏感信息，而是将值放在 Azure KeyVault 中并关联 Azure DevOps 变量集合。这有效地防止用户看到代码中的变量和变量集合中的值，但它不限制写入构建/发布日志的值。

问题：

哪些选项可用于 (1) 排除对构建/发布日志的访问和 (2) 限制管道编辑？

更正：值被写入日志，但来自 Key Vault 的值被屏蔽为 *** 值。这解决了我们的问题，但首要问题仍然存在。

【问题讨论】：

标签： security logging azure-devops azure-pipelines azure-keyvault

【解决方案1】：

恐怕没有这种方法只能排除构建和发布日志的访问权限。

根据您的要求，您可以尝试限制以下权限。

对于构建管道，您可以限制查看构建和编辑构建管道。

然后用户将无权查看构建和编辑管道。

对于发布管道，您可以限制查看发布和编辑发布管道。

【讨论】：

谢谢凯文。您的图片是否可以在不同的 URL 上找到？我们的业务防火墙阻止了该域。此外，您能否使用支持 Microsoft 文档的 URL 更新答案。它将帮助其他用户找到支持您的答案的文档。
@one.beat.consumer 关于Pipeline Security和Release Security请参考这个文档
谢谢凯文。 PR 是否可以从本地存储库返回到它已经关联的 ADO/GitHub 存储库？我没有找到使用 VS 的新 Git 模块的示例。仅限带有 PR 图标的旧功能。
@one.beat.consumer。根据您的描述，这似乎是一个新问题？我建议您可以为此问题创建一张新票。然后我们可以更好地帮助您。
我想我可能误解了 git。我了解从远程仓库到另一个仓库的 PR，并且该功能运行良好。但我不确定您是否可以使用 PR 将您直接映射到一个 repo。前任。 /obc 通过 Push 到 origin/obc，然后 origin/obc 通过 PR 到 /master 是有意义的……但是如果有人有本地 /master，他们可以向 origin/master 提交 PR 吗？也许这是 git 不做的事情？