Azure DevOps REST API ทั้งหมดได้รับโทเค็นการเข้าถึงส่วนบุคคล (PATs) แบบละเอียดแล้ว เป้าหมายของการเปลี่ยนแปลงนี้ซึ่งได้รับการตอบรับอย่างดีจากชุมชนความปลอดภัยทางไซเบอร์คือการลดความเสียหายที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูลรับรอง PAT
ประกาศข่าวผ่านโพสต์บล็อก Azure DevOps ผู้จัดการผลิตภัณฑ์ Barry Wolfson กล่าวว่าก่อนที่จะมีการเปลี่ยนแปลง มี "ความเสี่ยงด้านความปลอดภัยที่สำคัญสำหรับองค์กร เนื่องจากความสามารถในการเข้าถึงซอร์สโค้ด โครงสร้างพื้นฐานการผลิต และสินทรัพย์ที่มีค่าอื่นๆ
“ก่อนหน้านี้ Azure DevOps REST API หลายตัวไม่เชื่อมโยงกับขอบเขต PAT ซึ่งบางครั้งทำให้ลูกค้าใช้ API เหล่านี้โดยใช้ PAT แบบเต็มขอบเขต ใบอนุญาตที่หลากหลายที่เกี่ยวข้องกับสิ่งเหล่านี้เป็นสาเหตุของความกังวล
ทริกเกอร์ Praetorian
ในขณะที่ Wolfson ไม่ได้กล่าวถึงรายละเอียด แต่คนอื่นๆ ก็คาดการณ์ว่าการเปลี่ยนแปลงนี้ดูเหมือนจะเกิดขึ้นหลังจากที่นักวิจัยของ Praetorian ใช้ REST API ของ PAT เพื่อเข้าถึงเครือข่ายองค์กรของบริษัทอื่น
หนึ่งในนั้นคือเว็บไซต์ GitHub ของ Microsoft ซึ่งถูกบุกรุกเนื่องจากการรั่วไหลของ PAT ขณะนี้บริษัทกำลังทดสอบการใช้ PAT แบบละเอียดในรุ่นเบต้าสาธารณะเพื่อแก้ไขปัญหา
ตอนนี้ Wolfson แนะนำให้ทีม DevOps เปลี่ยนโดยเร็วที่สุด “หากคุณกำลังใช้ PAT แบบเต็มขอบเขตเพื่อรับรองความถูกต้องกับ Azure DevOps REST API ใดๆ ให้ลองย้ายไปยัง PAT ที่มีขอบเขตเฉพาะที่ API ยอมรับเพื่อหลีกเลี่ยงการเข้าถึงที่ไม่จำเป็น” เขากล่าว
ขอบเขต PAT แบบละเอียดที่รองรับสำหรับ REST API ที่ระบุสามารถพบได้ในส่วนความปลอดภัย - ขอบเขตของหน้าเอกสาร REST API
นอกจากนี้ การเปลี่ยนแปลงควรอนุญาตให้ลูกค้าจำกัดการสร้าง PAT แบบเต็มขอบเขตผ่านนโยบายส่วนควบคุม
"เราตั้งตารอที่จะมอบการปรับปรุงอย่างต่อเนื่องซึ่งจะช่วยให้ลูกค้ารักษาความปลอดภัยของสภาพแวดล้อม DevOps" Wolfson กล่าวสรุป
ผ่าน: The Registry (เปิดในแท็บใหม่)