Wszystkie interfejsy API REST platformy Azure DevOps otrzymują teraz szczegółowe tokeny dostępu osobistego (PAT). Celem tej zmiany, która została dobrze przyjęta przez społeczność zajmującą się cyberbezpieczeństwem, jest zminimalizowanie potencjalnych szkód wynikających z wycieku danych uwierzytelniających PAT.
Ogłaszając tę wiadomość za pośrednictwem wpisu na blogu Azure DevOps, menedżer produktu Barry Wolfson powiedział, że przed zmianą „istniało znaczne ryzyko bezpieczeństwa dla organizacji ze względu na możliwość dostępu do kodu źródłowego, infrastruktury produkcyjnej i innych cennych zasobów”.
„Wcześniej kilka interfejsów API REST usługi Azure DevOps nie było powiązanych z zakresem PAT, co czasami powodowało, że klienci korzystali z tych interfejsów API przy użyciu pełnego zakresu PAT. Szeroki zakres zezwoleń z nimi związanych był powodem do niepokoju.
spust pretoriański
Podczas gdy Wolfson nie wspomniał o szczegółach, inni spekulowali, że zmiana prawdopodobnie nastąpiła po tym, jak badacze Praetorian wykorzystali interfejsy API REST PAT, aby uzyskać dostęp do sieci korporacyjnych innych firm.
Jednym z nich była należąca do Microsoft witryna GitHub, która została naruszona dzięki wyciekowi PAT. Firma obecnie testuje użycie drobnoziarnistego PAT w publicznej wersji beta, aby rozwiązać problem.
Teraz Wolfson sugeruje, aby zespoły DevOps dokonały zmiany tak szybko, jak to możliwe. „Jeśli obecnie używasz PAT o pełnym zakresie do uwierzytelniania w dowolnym interfejsie API REST Azure DevOps, rozważ migrację do PAT z określonym zakresem akceptowanym przez interfejs API, aby uniknąć niepotrzebnego dostępu” — mówi.
Obsługiwane szczegółowe zakresy PAT dla danego API REST można znaleźć w sekcji Bezpieczeństwo – Zakresy na stronach dokumentacji API REST – dodał.
Ponadto zmiany powinny umożliwić klientom ograniczenie tworzenia PAT w pełnym zakresie za pomocą polityki płaszczyzny kontroli.
„Nie możemy się doczekać dalszego dostarczania ulepszeń, które pomogą klientom zabezpieczyć ich środowiska DevOps” – podsumował Wolfson.
Przez: Rejestr (otwiera się w nowej karcie)