Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Nous étendons le support de GitHub Advanced Security pour inclure des résultats avec des emplacements d’URI, afin d'offrir une couverture plus large des outils d'analyse dynamique et d'analyse de conteneurs.
Nous avons également amélioré la façon dont les demandes de tirage GitHub se connectent aux éléments de travail Azure Boards, ce qui facilite la mise à jour des états des éléments de travail lorsque les demandes de tirage sont fusionnées.
Pour plus d’informations, consultez les notes de publication.
Généralités
- Gérer les étendues de privilèges élevés, les décorateurs de pipeline et les extensions non publiées
- Secrets communs pour les applications OAuth
Sécurité avancée GitHub pour Azure DevOps
Azure Boards :
Généralités
Gérer les étendues de privilèges élevés, les décorateurs de pipeline et les extensions non publiées
Les extensions Azure DevOps améliorent les fonctionnalités de produit et les flux de travail, mais celles avec des étendues de privilèges élevées peuvent présenter différents risques.
Nous avons ajouté une nouvelle fonctionnalité qui signale ces étendues sur la page d’administration de chaque organisation et la page d’installation de Visual Studio Marketplace, ce qui aide les administrateurs à prendre des décisions éclairées. Les extensions non publiées et les décorateurs de pipeline sont également signalés à l'administrateur afin qu'il en prenne connaissance et prenne les mesures appropriées.
Pour plus d’informations, consultez la page de documentation .
Superposition des secrets pour les applications OAuth
Azure DevOps a introduit des secrets qui se chevauchent pour les applications OAuth, une nouvelle fonctionnalité disponible sur l’interface utilisateur et l’API conçue pour simplifier la rotation des secrets et réduire les temps d’arrêt.
Avec des secrets qui se chevauchent, les développeurs peuvent générer un nouveau secret tandis que l’ancien reste valide, garantissant un accès ininterrompu pendant les rotations des secrets. Avec cette mise à jour, nous réductons également la période de validité du secret par défaut à 60 jours. À mesure que les applications OAuth Azure DevOps sont sur le point d'être retirées en 2026, cette mise à jour fournit une amélioration critique en matière de sécurité pour les équipes qui s’appuient toujours sur elles. Essayez-le aujourd’hui pour simplifier votre gestion des secrets et améliorer la résilience. En savoir plus dans notre billet de blog.
Sécurité avancée GitHub pour Azure DevOps
Advanced Security accepte désormais les résultats avec des emplacements d’URI
Précédemment, Advanced Security a rejeté les fichiers SARIF qui contenaient des résultats avec des URI répertoriés comme emplacement d’alerte. Cela affecte généralement les outils d’analyse de conteneur et les outils d’analyse dynamique des applications. Advanced Security peut désormais accepter et afficher les résultats de ces outils de manière conditionnelle.
Pour activer cette fonctionnalité, définissez la variable de pipeline advancedsecurity.publish.allowmissingpartialfingerprints.
trigger: none
variables:
advancedsecurity.publish.allowmissingpartialfingerprints: true
jobs:
- job: "AdvancedSecurityPublish"
displayName: "🛡 Publish ZAP SARIF"
steps:
- task: AdvancedSecurity-Publish@1
displayName: Publish to ZAP SARIF to Advanced Security
inputs:
SarifsInputDirectory: $(Build.SourcesDirectory)/sarifs/
Azure Boards
Intégration de GitHub : prise en charge de la transition d’état
Nous avons élargi notre prise en charge de la liaison des pull requests GitHub avec des éléments de travail Azure Boards ! Auparavant, seul le Fixes AB#{ID} mot clé était pris en charge. Avec cette mise à jour, vous pouvez désormais utiliser {State or Category} AB#{ID} pour passer automatiquement des éléments de travail à l’état souhaité lors de la fusion.
Si la description du pull request GitHub inclut un nom d’état (par exemple, Validate AB#1234), l’état de l’élément de travail lié sera mis à jour en conséquence. Si le nom d’état n’est pas reconnu, nous vérifions s’il correspond à une catégorie d’état (par exemple Resolved). Si c’est le cas, l’élément de travail est transféré vers le premier état disponible dans cette catégorie.
Si aucun état ou catégorie correspondant n’est trouvé, le mot clé est ignoré et l’état de l’élément de travail n’est pas mis à jour.
Enfin, le Fixes AB#{ID} mot clé continue de fonctionner comme prévu, en utilisant par défaut la valeur d’état « Closed ».
Étapes suivantes
Remarque
Ces fonctionnalités seront déployées au cours des deux à trois prochaines semaines.
Accédez à Azure DevOps et jetez un coup d’œil.
Comment fournir des commentaires
Nous aimerions entendre ce que vous pensez de ces fonctionnalités. Utilisez le menu d’aide pour signaler un problème ou fournir une suggestion.
Vous pouvez également obtenir des conseils et répondre à vos questions par la communauté sur Stack Overflow.
Merci,
Dan Hellem