При чтении документации говорится, что при выполнении запроса извлечения файл «исходного» лазурного конвейера читается при проверке PR.
Насколько это безопасно? Любой разработчик, который выполняет запрос на извлечение, теперь может использовать сервисные соединения, которые может использовать сборка, и делать с ним все, что ему захочется.
В других системах он всегда использует target CI ветви. конфигурация для запросов на получение. Есть ли способ настроить Azure Devops для этого поведения?
Какова лучшая практика здесь?