Azure Pipelines Agent 中 Newtonsoft.Json 安全问题分析与解决方案

背景介绍

Microsoft Azure Pipelines Agent 是一款广泛使用的持续集成和持续交付工具，它允许开发团队在各种环境中自动构建、测试和部署应用程序。近期，安全扫描工具发现某些版本的 Azure Pipelines Agent 中包含了存在安全问题的 Newtonsoft.Json 库版本。

问题详情

该问题被标识为 CVE-2024-21907，影响 Newtonsoft.Json 9.0.1 和 10.0.3 版本。这些旧版本存在潜在的安全隐患，可能导致服务中断或其他安全问题。在 Azure Pipelines Agent 中，这些有问题的库文件主要存在于以下位置：

1. 代理程序的工作目录
2. 与 TF.exe（Team Foundation 版本控制工具）相关的依赖项中

影响范围

受影响的 Azure Pipelines Agent 版本包括但不限于 3.230.0 和 3.232.1。这些版本在 Windows Server 2019 等环境中运行时，会被安全扫描工具标记为存在问题。

技术分析

问题的根源在于 TF.exe 这个组件的构建时间较早，包含了旧版本的 Newtonsoft.Json 库。由于缺乏自动化的持续交付管道，这些依赖项未能及时更新到安全版本。

解决方案

Microsoft 开发团队采取了以下措施解决此问题：

1. 为 TF.exe 建立了专门的持续交付管道，确保其依赖项能够定期更新
2. 在 Azure Pipelines Agent v3.244.1 版本中包含了修复后的组件

实施建议

对于使用 Azure Pipelines Agent 的用户，建议采取以下行动：

1. 立即升级到 v3.244.1 或更高版本
2. 定期检查代理程序的更新情况
3. 在企业环境中建立安全扫描机制，及时发现类似问题

总结

软件供应链安全是现代DevOps实践中不可忽视的重要环节。通过这次事件，我们可以看到及时更新依赖库的重要性，以及建立自动化更新机制的价值。Azure Pipelines Agent 团队通过建立专门的持续交付管道，从根本上解决了这类问题再次发生的可能性。

对于仍在使用旧版本的用户，强烈建议尽快升级到修复后的版本，以确保构建环境的安全性。同时，这也提醒我们应当将依赖项管理纳入日常的安全审计范围，建立完善的软件资产管理机制。