我一直在研究Azure DevOps，并且遇到了Azure管道中一个非常明显的安全漏洞。

因此，我正在将管道创建为YAML并定义了两个阶段：构建阶段和部署阶段。部署阶段如下：

- stage: deployApiProdStage
  displayName: 'Deploy API to PROD'
  dependsOn: buildTestApiStage
  jobs:
  - deployment: deployApiProdJob
    displayName: 'Deploy API to PROD'
    timeoutInMinutes: 10
    condition: and(succeeded(),eq(variables.isRelease,true))
    environment: PROD
    strategy:
      runOnce:
        deploy:
          steps:
          - task: AzureWebApp@1
            displayName: 'Deploy Azure web app'
            inputs:
              azureSubscription: '(service connection to production web app)'
              appType: 'webAppLinux'
              appName: 'my-web-app'
              package: '$(Pipeline.Workspace)/$(artifactName)/**/*.zip'
              runtimeStack: 'DOTNETCORE|3.1'
              startUpCommand: 'dotnet My.Api.dll'

Microsoft文档讨论了通过在环境中添加批准和检查来保护此问题。在上述情况下，则为PROD环境。如果此处允许发布到我的PROD Web应用程序的受保护资源-azureSubscription中的服务连接-从PROD环境中拉出，那就很好了。不幸的是，据我所知，事实并非如此。而是与管道本身关联。

这意味着首次运行管道时，Azure DevOps UI提示我允许管道访问服务连接，这是进行任何部署所必需的。一旦允许访问，该管道就可以永远访问该服务连接。这意味着从那时起，无论为作业指定哪种环境，都可以使用该服务连接。更糟糕的是，指定的任何无法识别的环境名称都不会导致错误，但是会导致默认情况下创建空白环境！

因此，即使我为PROD环境设置了手动批准，如果组织中的某人设法通过我们的代码审查（可能是定期的大型代码审查）进行更改，将环境名称更改为“ NewPROD”在azure-pipelines.yml文件中，CI / CD将创建该新环境，并继续进行并立即部署到PROD，因为新环境没有检查或批准！

当然应该将服务连接与环境关联。可以选择禁止自动创建新环境也很有意义-无论如何，我真的没有看到它特别有用。据我所知，目前，这是一个巨大的安全漏洞，任何有权限访问存储库或设法通过批准过程将对azure-pipelines.yml文件进行更改的人都可以部署到关键环境。 ，引入了主要的单点故障/弱点。广受赞誉的用于保护管道的增量方法发生了什么？我在这里丢失了什么东西吗？还是这个安全漏洞像我想的那样严重？

解决方法