我们将Visual Studio Team Services用于我们的 git 服务器。每个 Azure DevOps 项目都托管一个或多个 git 存储库。我们有保持master和develop分支锁定的惯例,但让其他分支保持不受限制。
我希望能够在项目级别应用我们的标准规则,并将它们作为其中所有 repos 的默认值:
master并且develop应该拒绝他们的安全Force Pushmaster分支需要通过代码审查策略的拉取请求到目前为止,我发现的唯一选择是通过 Web 界面(甚至不是 API!)手动设置这些每个存储库。我们至少有 200 多个存储库,并且希望避免手动设置每个存储库并一个一个地分支。
如何按分支名称设置默认代码安全和代码策略?或者通过手动以外的任何方式?
GET https://account.visualstudio.com/DefaultCollection/ProjectName/_apis/git/repositories?api-version=1.0
然后从输出中保存每个 git repo id 和 name。
2. 在代码中通过 repo id 循环你在 step1 中获得的存储库,并为每个 master 分支创建分支策略(假设这里的最小审阅者数量为 2)。
POST https://account.visualstudio.com/DefaultCollection/ProjectName/_apis/policy/configurations?api-version=2.0-preview
应用程序/json:
{
"isEnabled": true,
"isBlocking": true,
"type": {
"id": "fa4e907d-c16b-4a4c-9dfa-4906e5d171dd"
},
"settings": {
"minimumApproverCount": 2,
"creatorVoteCounts": false,
"allowDownvotes": false,
"scope": [
{
"refName": "refs/heads/master",
"matchKind": "Exact",
"repositoryId": "{repo id}"
}
]
}
}
要编写存储库和分支安全性脚本,可以使用tfssecurity.exe新权限 REST API 或Azure CLI。以下博客文章中的所有详细信息:
对于特定的分支,/refs^heads^master/在 Token 的末尾添加。
如果您过去曾深入研究过 Azure DevOps 的安全内部结构,您会发现某些权限被授予个人或组并与令牌相关联。这个令牌通常由一个根对象和一堆 GUID 组成。例如,这是特定 Git 存储库的令牌:
repoV2/daec401a-49b6-4758-adb5-3f65fd3264e3/f59f38e0-e8c4-45d5-8dee-0d20e7ada1b7
^ ^ ^
| | |
| | -- The Git Repository
| -- The Team Project Guid
|
-- The root object (Repositories)
我知道找到这些详细信息的最简单方法是捕获更改权限时发出的 Web 请求:
您可以在您喜欢的浏览器中使用 Web Developer 工具来查找您需要的令牌。一旦理解了这一点,就很容易找到“团队项目中的所有存储库”令牌的令牌。只需在最后取下 Git 存储库 GUID:
repoV2/daec401a-49b6-4758-adb5-3f65fd3264e3b7/
^ ^
| |
| -- The Team Project Guid
|
-- The root object (Repositories)
并且,使用相同的推理,获取“项目集合/组织中的所有存储库”令牌的令牌。只需在最后取下 Team Project GUID:
repoV2/
^
|
-- The root object (Repositories)
现在我们有了这个令牌,我们可以使用 tfssecurity 来设置组织级别的 git 权限:
tfssecurity /a+ "Git Repositories" repoV2/ "PullRequestBypassPolicy" adm: ALLOW /collection:https://dev.azure.com/org
^ ^ ^ ^ ^ ^
| | | | | -- Allow or Deny the permission
| | | | -- The Group (in this case "Project Collection Administrators")
| | | -- The Permission we want to set
| | -- The Token we found above
| -- The Secuity Namespace
-- Add (a+) or Remove (a-) this permission
而且,正如您在下面看到的,这个技巧确实有效:)。
您可以使用相同的技术来保护分支。分支的令牌使用存储库的令牌作为基础并将分支添加到其中。因为 a/是标记分隔符,所以通过替换为 来转义分支/引用^。因此refs/heads/master变成refs^heads^master:
repoV2/daec401a-49b6-4758-adb5-3f65fd3264e3/f59f38e0-e8c4-45d5-8dee-0d20e7ada1b7/refs^heads^master/
^ ^ ^ ^
| | | |
| | | -- The branch
| | -- The Git Repository
| -- The Team Project Guid
|
-- The root object (Repositories)
通过最近的更新,您现在可以通过 UI 本身进行配置。
现在,管理员可以在特定分支或项目中所有存储库的默认分支上设置策略。
只需转到“项目设置”=>“跨回购策略”。
唯一需要注意的是,作为最近的更改,这将仅在 Azure Devops 云服务上可用,而不是在 Azure Devops 服务器部署上可用。因此,如果您使用的是服务器版本,则可能需要等待一段时间。
您可以参考这个网址:https ://docs.microsoft.com/en-us/azure/devops/release-notes/2019/repos/sprint-160-update