似乎无法将应用服务和Azure Functions等Azure资源配置为仅运行我们(自)签名的代码(即白名单)。因此,我们必须在部署阶段进行签名检查。我们正在使用 Azure DevOps 服务。
我们可以在管道中添加一个自定义任务来执行签名验证检查。但检查将是我们的 YAML 文件中的一项任务,这些文件通常由团队自己控制。我们希望此检查发生在管道创建者的控制之外。
实现这一点的最佳方法是什么?我们做了一些研究,我们认为 DevOps 管道检查(如本文中定义)可能是一个很好的解决方案。我们可以向服务连接添加这样的检查,这将调用自定义的 Azure 函数或 REST API 来验证部署工件的签名。
这看起来是一个很好的解决方案吗? Azure 或 Azure DevOps Services 是否提供更好的解决方案?
如果您只需要对调用的函数或 REST API 的响应中的数据进行简单的检查操作,使用 Invoke Azure function 或 Invoke REST API 任务作为检查是一个好方法。但是,如果您需要从响应中解析更复杂的数据并使用数据执行更复杂的操作,则这两个任务可能不可用。
如果您开发了一个可以执行更复杂操作的自定义管道任务,您可以考虑将此任务添加为管道装饰器的步骤。
管道装饰器是一种 Azure DevOps 扩展,它可以让您在每个作业的开头和结尾添加步骤。将自定义装饰器安装到 Azure DevOps 组织后,默认情况下,装饰器中设置的步骤将自动添加到该组织正在运行的所有作业中。
当管道创建者设置管道时,他们只需要添加他们想要的步骤,然后在运行管道时,装饰器步骤将在每个作业中创建者添加的步骤之前或之后自动运行。
相关文档可供参考: