Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa GitHub Advanced Security dla usługi Azure DevOps zapewnia kompleksowe funkcje skanowania zabezpieczeń z szczegółowymi mechanizmami kontroli uprawnień. Ten artykuł przeprowadzi Cię przez proces konfigurowania uprawnień dla alertów zabezpieczeń, zarządzania poziomami dostępu i konfigurowania bezpiecznego uwierzytelniania dla interfejsów API usługi Advanced Security.
Usługa GitHub Advanced Security dla usługi Azure DevOps współpracuje z usługą Azure Repos. Aby użyć GitHub Advanced Security z repozytoriami GitHub, zobacz GitHub Advanced Security.
Wymagania wstępne
| Kategoria | Wymagania |
|---|---|
| uprawnienia | — Aby wyświetlić podsumowanie wszystkich alertów dla repozytorium: Współautor uprawnienia dla repozytorium. — Aby odrzucić alerty w usłudze Advanced Security, wymagane są uprawnienia administratora projektu. — Aby zarządzać uprawnieniami w ramach zabezpieczeń zaawansowanych: członek grupy Administratorzy Kolekcji Projektów lub uprawnienie Zarządzanie ustawieniami zabezpieczeń zaawansowanych ustawione na Zezwalaj. |
Aby uzyskać więcej informacji na temat uprawnień zabezpieczeń zaawansowanych, zobacz Zarządzanie uprawnieniami zabezpieczeń zaawansowanych.
Definicje uprawnień
Usługa Advanced Security wprowadza trzy wyspecjalizowane uprawnienia kontrolujące dostęp do funkcji zabezpieczeń:
| Pozwolenie | Opis | Przypadki użycia |
|---|---|---|
| Zabezpieczenia zaawansowane: odczyt alertów | Wyświetlanie alertów zabezpieczeń, luk w zabezpieczeniach i wyników skanowania | Analitycy zabezpieczeń, deweloperzy przeglądający kod |
| Zabezpieczenia zaawansowane: zarządzanie alertami i odrzucanie ich | Ignorowanie fałszywych alarmów, zarządzanie cyklem życia alertów | Inżynierowie ds. zabezpieczeń, starsi deweloperzy |
| Zabezpieczenia zaawansowane: zarządzanie ustawieniami | Włączanie/wyłączanie funkcji zabezpieczeń zaawansowanych (akcja rozliczana) | Administratorzy projektów, menedżerowie zabezpieczeń |
Domyślne przydziały uprawnień
| Grupa usługi Azure DevOps | Uprawnienia domyślne |
|---|---|
| Współautorzy | Zabezpieczenia zaawansowane: odczyt alertów |
| Administrator projektu | Zabezpieczenia zaawansowane: odczytywanie alertów, zarządzanie nimi i odrzucanie alertów |
| Administrator kolekcji projektów | Zabezpieczenia zaawansowane: odczytywanie alertów, zarządzanie alertami i odrzucanie ich, zarządzanie ustawieniami |
Uwaga / Notatka
Tylko użytkownicy z uprawnieniami "Zarządzaj ustawieniami" mogą włączać funkcje zabezpieczeń zaawansowanych, co może spowodować naliczanie opłat za rozliczenia. Podczas udzielania tego uprawnienia należy zachować ostrożność.
Zarządzanie uprawnieniami zabezpieczeń zaawansowanych
Możesz dostosować uprawnienia zabezpieczeń zaawansowanych dla określonych repozytoriów, aby spełnić wymagania dotyczące zabezpieczeń. Ta akcja jest przydatna, gdy musisz przyznać członkom zespołu różne poziomy dostępu na podstawie ich ról i obowiązków.
Typowe scenariusze dostosowywania uprawnień:
- Dostęp do zespołu ds. zabezpieczeń: udzielanie pełnych uprawnień analitykom zabezpieczeń
- Dostęp dla deweloperów: zapewnianie dostępu tylko do odczytu dla zespołów programistycznych
- Wymagania dotyczące zgodności: Ograniczanie zarządzania ustawieniami do autoryzowanego personelu
Konfigurowanie uprawnień specyficznych dla repozytorium
Jeśli listy rozwijane uprawnień są wyłączone, skontaktuj się z administratorem projektu, aby uzyskać niezbędne uprawnienia do zarządzania ustawieniami zabezpieczeń.
Aby dostosować uprawnienia dla określonego repozytorium:
Wybierz ustawienia projektu>Repozytoria.
Wybierz określone repozytorium, dla którego chcesz dostosować uprawnienia.
Kliknij Zabezpieczenia.
Wybierz grupę zabezpieczeń, dla której chcesz dostosować uprawnienia.
Zmień uprawnienie. Gdy operacja zakończy się pomyślnie, obok wybranego uprawnienia pojawi się znacznik wyboru.
Uwierzytelnianie dla interfejsów API zabezpieczeń zaawansowanych
Korzystanie z tokenów identyfikatora Entra firmy Microsoft (zalecane)
Tokeny Microsoft Entra ID to preferowana metoda uwierzytelniania dla dostępu do GitHub Advanced Security w interfejsach API Azure DevOps. Zapewniają one zwiększone zabezpieczenia dzięki standardom OAuth 2.0 i bezproblemowej integracji z systemami tożsamości przedsiębiorstwa.
Zalety uwierzytelniania identyfikatora Entra firmy Microsoft:
- Zwiększone zabezpieczenia: Zgodność protokołu OAuth 2.0 z automatycznym odświeżaniem tokenu
- Integracja dla przedsiębiorstw: natywna obsługa zasad dostępu warunkowego i uwierzytelniania wieloskładnikowego
- Inspekcja i zgodność: Lepsze śledzenie i rejestrowanie operacji zabezpieczeń
- Dostęp z najmniejszymi uprawnieniami: szczegółowa kontrola zakresu zgodna z zasadami zabezpieczeń organizacji
Aby uzyskać szczegółowe wskazówki dotyczące implementacji, zobacz Microsoft Entra authentication for Azure DevOps (Uwierzytelnianie entra firmy Microsoft dla usługi Azure DevOps).
Używanie osobistych tokenów dostępu
Ważne
Zalecamy stosowanie bezpieczniejszych tokenów firmy Microsoft w przypadku tokenów dostępu osobistego o wyższym ryzyku. Dowiedz się więcej o naszych wysiłkach zmierzających do zmniejszenia użycia PAT. Zapoznaj się z naszymi wskazówkami dotyczącymi uwierzytelniania , aby wybrać odpowiedni mechanizm uwierzytelniania dla Twoich potrzeb.
Możesz użyć osobistego tokenu dostępu, aby użyć interfejs API Zabezpieczenia Zaawansowanych. Aby uzyskać więcej informacji, zobacz Używanie osobistych tokenów dostępu.
Usługa Advanced Security oferuje trzy dodatkowe zakresy dostępu: read, read and writei read, write, and manage.