Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les extensions dans Azure DevOps améliorent les fonctionnalités et simplifient les flux de travail, mais certaines extensions peuvent poser des vulnérabilités de sécurité en raison de leurs étendues de privilèges élevées ou de leur état non publié. Cet article explique comment identifier et gérer des privilèges élevés, des décorateurs de pipeline et des extensions non publiées pour protéger votre organisation Azure DevOps contre les vulnérabilités de sécurité potentielles ou un comportement inattendu.
Qu’est-ce que les étendues de privilèges élevés et les extensions à privilèges élevés ?
Étendues de privilèges élevés
Les étendues déterminent en général les ressources auxquelles une extension peut accéder et les opérations autorisées à effectuer sur ces ressources. Les extensions peuvent utiliser plusieurs périmètres.
Quant à ce qui est défini comme une étendue de privilèges élevés, il s’agit d’une étendue trop permissive.
Par exemple, une étendue de privilèges élevés peut :
- Lire, mettre à jour et supprimer votre code source
- Lire, écrire et gérer vos identités et groupes
- Créer, lire, mettre à jour et supprimer vos projets
Pour obtenir la liste complète des étendues, y compris les étendues de privilèges élevés, consultez la référence du manifeste.
Extensions à privilèges élevés
Les extensions à privilèges élevés utilisent un ou plusieurs domaines à privilèges élevés. Étant donné que les extensions à privilège élevé peuvent accéder aux ressources sensibles et effectuer des opérations critiques, il est essentiel de les évaluer soigneusement pour s’assurer qu’elles s’alignent sur les normes opérationnelles et de sécurité de votre organisation.
Quand il s’agit d’une extension, et encore plus d’une extension à privilège élevé, tenez compte des éléments suivants :
- Éditeur approuvé : installer et utiliser des extensions uniquement si vous approuvez leur code et leur éditeur
- Passez en revue les étendues demandées : vérifiez que les étendues demandées sont nécessaires pour la fonctionnalité de l’extension.
- Limiter l’utilisation : installer des extensions à privilège élevé uniquement si elles sont critiques pour vos flux de travail
Évaluer l’utilisation des étendues de privilèges élevés dans les extensions Azure DevOps
Quelques-unes de vos extensions déjà installées peuvent être marquées pour une utilisation d’étendue de privilège élevée. Vous pouvez vérifier leur état dans la section Extensions des paramètres de l’organisation.
Nous vous recommandons d’installer, de mettre à jour ou d’utiliser des extensions uniquement si vous approuvez leur code et leurs éditeurs.
Microsoft exécute des analyses antivirus sur chaque nouvelle version et mise à jour d’une extension ; toutefois, cette fonctionnalité met uniquement en évidence dans l’interface utilisateur si une extension spécifique utilise des étendues de privilèges élevés. Pour plus d’informations sur les analyses antivirus, consultez Publier votre extension.
Gérer les extensions avec des niveaux de privilèges élevés
Si vous identifiez une extension avec des étendues à privilèges élevés, déterminez si les étendues appelées de l’extension sont essentielles pour votre cas d’usage. Si la fonctionnalité de l’extension ne justifie pas les étendues, nous vous recommandons de ne pas installer ou utiliser l’extension pour protéger votre organisation Azure DevOps.
La Place de marché Visual Studio pour les extensions Azure DevOps fournit des indications similaires à celles affichées dans la page d’administration pour les étendues de privilèges élevés. Vous pouvez donc également identifier les étendues de privilège élevée marquées dans la Place de marché Visual Studio Azure DevOps avant l’installation de l’extension dans votre organisation.
Lorsque vous sélectionnez une extension et en particulier une extension avec des étendues de privilèges élevés, pensez de manière critique si la fonctionnalité de l’extension justifie l’utilisation de ces étendues. Passez uniquement à l’installation si vous approuvez le serveur de publication et le code de l’extension.
Utiliser les éléments décoratifs de pipeline en toute sécurité
Les décorateurs de pipeline sont des extensions privées qui modifient et améliorent tous les pipelines au sein de votre organisation. Ils sont également classés comme des extensions de privilèges élevés. Utilisez des extensions de décorateur de pipeline avec prudence et uniquement si vous approuvez leurs éditeurs et leur code.
Arrêt de l’utilisation d’extensions non publiées
Au-delà des extensions à privilèges élevés, la page d’administration de l’extension indique visuellement si une extension n’a pas été publiée par son éditeur.
Lorsqu’une extension n’est pas publiée à partir de Visual Studio Marketplace par son éditeur, elle signifie généralement que l’extension n’est plus conservée.
Arrêtez l’utilisation d’extensions non publiées en les désinstallant de votre organisation Azure DevOps.
En outre, avec l’API REST Azure DevOps Services version 7.2, le champ unpublished de chaîne est désormais disponible. Ce champ vous permet d’identifier par programmation les extensions qui ne sont pas publiées à partir de Visual Studio Marketplace. Par exemple, vous pouvez créer votre propre processus de détection et de gestion des extensions non publiées au sein de votre organisation Azure DevOps.