Alle Azure DevOps REST APIs erhalten jetzt granulare Personal Access Tokens (PATs). Das Ziel dieser Änderung, die von der Cybersicherheits-Community begrüßt wurde, besteht darin, den potenziellen Schaden eines PAT-Zugangsdatenlecks zu minimieren.
Produktmanager Barry Wolfson gab die Neuigkeiten in einem Azure DevOps-Blogbeitrag bekannt und sagte, dass vor der Änderung „ein erhebliches Sicherheitsrisiko für Unternehmen bestand, da sie auf Quellcode, Produktionsinfrastruktur und andere wertvolle Vermögenswerte zugreifen konnten“.
„Früher waren mehrere Azure DevOps REST APIs nicht mit einem PAT-Bereich verknüpft, was manchmal dazu führte, dass Kunden diese APIs mit PATs mit vollem Umfang nutzten. Die damit verbundene Vielfalt an Genehmigungen gab Anlass zur Sorge.
prätorianischer Auslöser
Während Wolfson keine Details nannte, haben andere spekuliert, dass die Änderung offenbar eingetreten sei, nachdem Forscher von Praetorian die REST-APIs von PAT verwendet hätten, um auf die Unternehmensnetzwerke anderer Unternehmen zuzugreifen.
Eines davon war die Microsoft-eigene GitHub-Website, die aufgrund eines PAT-Lecks kompromittiert wurde. Das Unternehmen testet derzeit in seiner öffentlichen Betaversion die Verwendung von feingranularem PAT, um das Problem zu beheben.
Nun schlägt Wolfson vor, dass DevOps-Teams so schnell wie möglich umsteigen. „Wenn Sie derzeit ein PAT mit vollem Umfang zur Authentifizierung bei einer der Azure DevOps-REST-APIs verwenden, sollten Sie die Migration zu einem PAT mit dem von der API akzeptierten spezifischen Bereich in Betracht ziehen, um unnötige Zugriffe zu vermeiden“, sagt er.
Die unterstützten granularen PAT-Bereiche für eine bestimmte REST-API seien im Abschnitt „Sicherheit – Bereiche“ der REST-API-Dokumentationsseiten zu finden, fügte er hinzu.
Darüber hinaus sollten die Änderungen es Kunden ermöglichen, die Erstellung umfassender PATs durch eine Kontrollebenenrichtlinie einzuschränken.
„Wir freuen uns darauf, weiterhin Verbesserungen bereitzustellen, die Kunden dabei helfen, ihre DevOps-Umgebungen zu sichern“, schloss Wolfson.
Über: Die Registrierung (Öffnet in einem neuen Tab)