【发布时间】:2021-10-08 13:26:57
【问题描述】:
我想将组/用户添加到 Azure DevOps 项目,只允许访问存储库和管道。
如果我拒绝“查看项目级别的信息”,他们根本无权访问该项目。
如果我允许“查看项目级信息”,它会授予他们对项目设置的只读访问权限,包括查看用户和其他组成员的权限等。
存在这样一个基本的安全和隐私漏洞似乎令人难以置信。
我是否在配置中遗漏了某些内容,因为我从未在任何其他应用程序中看到过这种情况,而且我很难相信使用 Azure DevOps 的其他所有人都认为这是可以接受的。
最简单的等价物是 GitHub(Microsoft 现在拥有),如果您只是贡献者,则看不到项目设置。
如何让外部承包商访问项目以进行工作,但阻止他们查看项目设置?
【问题讨论】:
标签: azure-devops