可以克隆在 Azure DevOps 中创建的新存储库,而无需提示输入密码或安全令牌。例如,创建 Repo 后,可以使用以下命令从命令行克隆存储库:https://username@dev.azure.com/organization-name/project-name/_git/repo-name
在克隆存储库之前,在桌面命令行上没有提示进行身份验证。我担心的是任何人都可以猜测 URL 字符串并尝试克隆私有存储库。
在选择克隆存储库时,我创建了密码,还创建了个人访问令牌,但在命令行上仍然没有任何安全提示。
保护 Azure DevOps 存储库的正确方法是什么?
【问题讨论】:
Azure DevOps 与大多数 Git 托管站点一样,提供公共和私有存储库。任何拥有该 URL 的人都可以访问公共存储库;私有存储库将需要身份验证。
如果您没有看到任何身份验证提示,那么您的存储库可能是公开的。如果是这样,并且您不希望这样,您可以在 Web 界面中查看存储库概览,单击名称旁边的铅笔图标,然后将可见性设置为私有。
也可能存储库已经是私有的,但您的 Git 凭据管理器中存储了凭据,可让您访问存储库,因此不会收到提示。在 Git Bash 提示符下,您可以运行 GIT_TRACE=1 GIT_CURL_VERBOSE=1 git clone URL 并查看是否包含 Authorization 标头。如果是这样,您可能还会看到对git credential fill 的调用以从您的凭证存储中填写凭证。在这种情况下,无需担心,因为需要身份验证,但您已获得授权。
【讨论】:
如果您的存储库是 actually private,但您没有任何凭据提示,请检查以下输出:
git config credential.helper
例如,在 Windows 上,这将是 your Windows Credentials Manager。
在 MacOS 上,would be your OSX KeyChain。
如果“dev.azure.com”存储在这些凭据帮助程序之一中,这将解释克隆私有存储库时缺少提示。
【讨论】: