在 VSTS 中保护私有生成代理
Securing a Private Build Agent in VSTS
我正在使用 VSTS 和私有构建代理,我想确保我不会公开我的组织以供攻击。构建和部署管道允许 Powershell 脚本在内部执行。为了防止黑客攻击,我做了以下工作
- 限制了运行 VSTS 构建代理的服务帐户的访问权限
- 可以调用构建或部署的人有限
- 避免执行 git
中的脚本作为构建的一部分
我们已将内部活动目录链接到 VSTS,这意味着我们可以从组织内部进行单点登录。
我的问题是我还能做些什么来保护我的构建和发布管道?是否有可用于监控构建脚本并使用的工具或脚本?
您可以设置两个方面的权限来确保您的 build/release 和私人代理的安全:
设置 build/release 定义的权限
单击 … 按钮进行 build/release 定义 -> 安全 -> 为组或用户设置详细权限 -> 保存更改。
设置代理权限
您还可以为代理队列和代理池设置不同的组和用户角色。
更多细节,可以参考文档Set build and release permissions。
我正在使用 VSTS 和私有构建代理,我想确保我不会公开我的组织以供攻击。构建和部署管道允许 Powershell 脚本在内部执行。为了防止黑客攻击,我做了以下工作
- 限制了运行 VSTS 构建代理的服务帐户的访问权限
- 可以调用构建或部署的人有限
- 避免执行 git 中的脚本作为构建的一部分
我们已将内部活动目录链接到 VSTS,这意味着我们可以从组织内部进行单点登录。
我的问题是我还能做些什么来保护我的构建和发布管道?是否有可用于监控构建脚本并使用的工具或脚本?
您可以设置两个方面的权限来确保您的 build/release 和私人代理的安全:
设置 build/release 定义的权限
单击
…按钮进行 build/release 定义 -> 安全 -> 为组或用户设置详细权限 -> 保存更改。设置代理权限
您还可以为代理队列和代理池设置不同的组和用户角色。
更多细节,可以参考文档Set build and release permissions。