如何解决Azure Devops服务连接如何安全?
当前,我审核Azure Devops服务连接的安全性:服务连接中存储的凭据的安全性如何?
例如TwineAuthenticate Task。它将从服务连接pythonUploadServiceConnection
中提取凭据,并将其写入PyPI资源文件。
是吗?
对该文件的检查(编辑)
- script: |
cat $(PYPIRC_PATH)
那么twine
读取PyPI资源文件时发生了什么魔术?这是安全的还是只是模糊不清?
解决方法
Azure DevOps会根据您对变量性质的了解来掩盖您的秘密。本文是关于github action的,但是您可以对Azure DevOps应用相同的规则。
请在docs
中查看我们尽力掩盖秘密不会出现在Azure Pipelines输出中,但是您仍然需要采取预防措施。从不回显秘密作为输出。某些操作系统会记录命令行参数。切勿在命令行上传递秘密。相反,我们建议您将机密映射到环境变量中。
我们从不掩盖秘密的子串。例如,如果将“ abc123”设置为机密,则不会从日志中屏蔽“ abc”。这是为了避免在机密级别上掩盖机密,从而使日志不可读。因此,机密不应该包含结构化数据。例如,如果将“ {{foo”:“ bar”}”设置为机密,则不会从日志中屏蔽“ bar”。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。