Azure Pipelines Agent 中 System.Security.Cryptography.Xml 安全问题分析

问题背景

在 Azure Pipelines Agent 3.232.3 版本中，发现了一个与 System.Security.Cryptography.Xml 组件相关的安全问题。该问题被标记为 GHSA-vh55-786g-wjwj，影响范围包括 5.0.0 至 6.0.0 版本的所有 System.Security.Cryptography.Xml 组件。

问题影响

该问题主要影响 Windows Server 2019 操作系统上运行的 Azure Pipelines Agent 自托管实例。受影响的文件位于两个关键路径：

1. 代理主程序目录下的 System.Security.Cryptography.Xml.dll
2. 工作目录更新包中的 System.Security.Cryptography.Xml.dll

技术细节

System.Security.Cryptography.Xml 是 .NET 框架中用于处理 XML 加密和签名的核心组件。该问题涉及 XML 数字签名验证过程中的安全考虑，可能导致签名验证异常或处理错误。

在 Azure Pipelines Agent 的上下文中，这个组件被用于处理各种安全相关的 XML 操作，包括但不限于：

• 配置文件签名验证
• 任务输入输出签名验证
• 安全令牌处理

解决方案

微软官方已经发布了更新版本 6.0.1 及更高版本。对于 Azure Pipelines Agent 用户，建议采取以下措施：

1. 升级到最新版本的 Azure Pipelines Agent，确保其中包含更新后的 System.Security.Cryptography.Xml 组件
2. 对于无法立即升级的环境，可以考虑手动替换受影响的 DLL 文件
3. 定期检查代理程序的更新情况，确保安全补丁及时应用

最佳实践

对于使用 Azure Pipelines Agent 的组织，建议建立以下安全实践：

• 定期检查代理程序中的第三方组件更新
• 建立自动化的代理更新机制
• 合理配置代理的网络访问权限
• 监控代理的运行日志，及时发现异常情况

该问题的修复对于确保 CI/CD 管道的安全性非常重要，特别是对于处理重要数据或关键业务应用的构建和部署流程。