Compartilhar via

Administrar escopos de privilégios altos, decoradores de pipeline e extensões não publicadas

As extensões no Azure DevOps aprimoram a funcionalidade e simplificam os fluxos de trabalho, mas algumas extensões podem representar vulnerabilidades de segurança devido a seus escopos de privilégio alto ou status não publicado. Este artigo explica como identificar e gerenciar privilégios altos, decoradores de pipeline e extensões não publicadas para proteger sua organização do Azure DevOps contra possíveis vulnerabilidades de segurança ou comportamento inesperado.

O que são escopos de privilégio alto e extensões de privilégio alto?

Escopos de privilégios altos

Os escopos determinam em geral quais recursos uma extensão pode acessar e as operações permitidas para executar nesses recursos. As extensões podem vir a usar vários escopos.

Quanto ao que é definido como um escopo de privilégio alto, é um escopo que é excessivamente permissivo.

Por exemplo, um escopo de privilégio alto pode:

  • Ler, atualizar e excluir o código-fonte
  • Ler, escrever e gerenciar suas identidades e grupos
  • Criar, ler, atualizar e excluir seus projetos

Para obter a lista completa de escopos, incluindo os escopos de privilégio alto, consulte a referência de manifesto.

Extensões de alto privilégio

Extensões de alto privilégio usam um ou mais escopos de privilégios altos. Como extensões de alto privilégio podem acessar recursos confidenciais e executar operações críticas, é essencial avaliá-las cuidadosamente para garantir que elas se alinhem com os padrões operacionais e de segurança da sua organização.

Quando se trata de qualquer extensão e ainda mais uma extensão de privilégio alto, considere os seguintes elementos:

  • Publicador confiável: instalar e usar extensões somente se você confiar no código e no editor deles
  • Examine os escopos solicitados: verifique se os escopos solicitados são necessários para a funcionalidade da extensão
  • Limitar o uso: instalar extensões de alto privilégio somente se elas forem críticas para seus fluxos de trabalho

Avaliar o uso de escopos de privilégios altos nas extensões do Azure DevOps

Algumas das extensões já instaladas podem ser sinalizadas para uso de escopo de privilégio alto. Você pode verificar o estado deles na seção Extensões das configurações da Organização.

Recomendamos que você instale, atualize ou use extensões somente se confiar no código e nos publicadores delas.

A Microsoft executa verificações de vírus em cada versão nova e atualizada de uma extensão; no entanto, esse recurso só realça na interface do usuário se uma extensão específica usa escopos de privilégios altos. Para obter mais informações sobre as verificações de vírus, consulte Publicar sua extensão.

Captura de tela mostrando a lista de extensões de alto privilégio nas configurações da Organização.

Gerenciar extensões com escopos de privilégios altos

Se você identificar uma extensão com escopos de privilégios elevados, avalie se os escopos chamados dessa extensão são realmente essenciais para o seu caso de uso. Se a funcionalidade da extensão não justificar os escopos, recomendamos não instalar ou usar a extensão para proteger sua organização do Azure DevOps.

Captura de tela mostrando detalhes do escopo de privilégios elevados para a extensão.

As extensões do Visual Studio Marketplace para Azure DevOps fornecem indicações semelhantes a essas extensões mostradas na página de administração para escopos de alto privilégio. Portanto, você também pode identificar escopos de privilégios altos sinalizados no Azure DevOps Visual Studio Marketplace antes que a extensão seja instalada em sua organização.

Quando você seleciona qualquer extensão e, especialmente, uma extensão com escopos de privilégio alto, pense criticamente se a funcionalidade da extensão justifica o uso desses escopos. Só prossiga com a instalação se você confiar no publicador e no código da extensão.

Captura de tela mostrando a tela de aquisição do Visual Studio Marketplace do Azure DevOps para uma extensão de privilégio alto.

Usar decoradores de pipeline com segurança

Decoradores de pipeline são extensões privadas que modificam e aprimoram todos os pipelines em sua organização; eles também são classificados como extensões de alto privilégio. Use extensões de decorador de pipeline com cuidado e apenas se confiar em seus publicadores e no código.

Captura de tela mostrando a tela de autorização para escopos recém-adicionados com decorador de pipeline incluído.

Descontinuar o uso de extensões não publicadas

Além das extensões de alto privilégio, a página de administração de extensões indica visualmente se uma extensão foi retirada da publicação pelo editor.

Quando uma extensão é não publicada do Visual Studio Marketplace por seu editor, normalmente significa que a extensão não é mais mantida.

Descontinue o uso de extensões não publicadas desinstalando-as de sua organização do Azure DevOps.

Além disso, com a API REST do Azure DevOps Services versão 7.2, o campo unpublished de cadeia de caracteres agora está disponível. Esse campo permite que você identifique programaticamente extensões que não foram publicadas no Visual Studio Marketplace. Por exemplo, você pode criar seu próprio processo de detecção e gerenciamento de extensões não publicadas em sua organização do Azure DevOps.

Conteúdo relacionado

  • Last updated on