Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As extensões no Azure DevOps aprimoram a funcionalidade e simplificam fluxos de trabalho, mas algumas extensões podem representar vulnerabilidades de segurança devido a seus escopos de alto privilégio ou status não publicado. Este artigo explica como identificar e gerenciar altos privilégios, decoradores de pipeline e extensões não publicadas para proteger sua organização do Azure DevOps contra possíveis vulnerabilidades de segurança ou comportamento inesperado.
O que são escopos de alto privilégio e extensões de alto privilégio?
Escopos de alto privilégio
Os escopos determinam, em geral, quais recursos uma extensão pode acessar e as operações permitidas para executar nesses recursos. As extensões podem usar vários escopos.
Quanto ao que é definido como um escopo de alto privilégio, é um escopo que é excessivamente permissivo.
Por exemplo, um escopo de alto privilégio pode:
- Leia, atualize e exclua seu código-fonte
- Leia, escreva e gerencie suas identidades e grupos
- Criar, ler, atualizar e excluir seus projetos
Para obter a lista completa de âmbitos, incluindo os âmbitos de alto privilégio, consulte a Referência do Manifesto.
Extensões de alto privilégio
As extensões de alto privilégio usam um ou mais escopos de alto privilégio. Como as extensões de alto privilégio podem acessar recursos confidenciais e executar operações críticas, é essencial avaliá-las cuidadosamente para garantir que estejam alinhadas com os padrões operacionais e de segurança da sua organização.
Quando se trata de qualquer extensão, e ainda mais uma extensão de alto privilégio, considere os seguintes elementos:
- Editor confiável: instale e use extensões somente se você confiar no código e no editor deles
- Revise os escopos solicitados: verifique se os escopos solicitados são necessários para a funcionalidade da extensão
- Limitar o uso: instale extensões de alto privilégio somente se elas forem críticas para seus fluxos de trabalho
Avaliar o uso de escopos de alto privilégio em extensões do Azure DevOps
Algumas das extensões já instaladas podem ser sinalizadas para uso de escopo de alto privilégio. Você pode verificar seu estado na seção Extensões das configurações da organização.
Recomendamos que apenas instale, atualize ou utilize extensões se confiar no seu código e nos seus publicadores.
A Microsoft executa verificações de vírus em cada versão nova e atualizada de uma extensão; No entanto, esse recurso só destaca na interface do usuário se uma extensão específica usa escopos de alto privilégio. Para obter mais informações sobre as verificações de vírus, consulte Publicar sua extensão.
Gerencie extensões com escopos de alto privilégio
Caso identifique uma extensão com escopos de alto privilégio, avalie se os escopos chamados da extensão são essenciais para o seu caso de uso. Se a funcionalidade da extensão não justificar os escopos, recomendamos não instalar ou usar a extensão para proteger sua organização do Azure DevOps.
O Visual Studio Marketplace para extensões de DevOps do Azure fornece indicações semelhantes às extensões mostradas na página de administração para escopos de alto privilégio. Assim, você também pode identificar escopos de alto privilégio sinalizados no Azure DevOps Visual Studio Marketplace antes que a extensão seja instalada em sua organização.
Ao selecionar qualquer extensão e, especialmente, uma extensão com escopos de alto privilégio, pense criticamente se a funcionalidade da extensão justifica o uso desses escopos. Só prossiga com a instalação se confiar no editor e no código da extensão.
Use decoradores de tubulação com segurança
Os decoradores de pipeline são extensões privadas que modificam e melhoram todos os pipelines dentro da sua organização. Eles também são classificados como extensões de alto privilégio. Use as extensões do decorador de pipeline com cautela e somente se você confiar em seus editores e código.
Descontinuar o uso de extensões não publicadas
Além das extensões de alto privilégio, a página de administração da extensão indica visualmente se uma extensão não foi publicada pelo editor.
Quando uma extensão não é publicada do Visual Studio Marketplace por seu editor, isso normalmente significa que a extensão não é mais mantida.
Descontinue o uso de extensões não publicadas desinstalando-as da sua organização do Azure DevOps.
Além disso, com a API REST dos Serviços de DevOps do Azure versão 7.2, o campo unpublished de cadeia de caracteres agora está disponível. Este campo permite que você identifique programaticamente extensões que não são publicadas do Visual Studio Marketplace. E, por exemplo, você pode criar seu próprio processo de deteção e gerenciamento de extensões não publicadas em sua organização do Azure DevOps.