Tüm Azure DevOps REST API’leri artık ayrıntılı Kişisel Erişim Belirteçleri (PAT) alıyor. Siber güvenlik camiasında coşkuyla karşılanan değişikliğin amacı, sızdırılmış bir PAT kimlik bilgisinin olası hasarını en aza indirmektir.
Haberi bir Azure DevOps blog yazısı aracılığıyla duyuran ürün yöneticisi Barry Wolfson, değişiklikten önce “kaynak koduna, üretim altyapısına ve diğer değerli varlıklara erişim potansiyeli göz önüne alındığında kuruluşlar için önemli bir güvenlik riski” olduğunu söyledi.
“Önceden, bazı Azure DevOps REST API’leri bir PAT kapsamıyla ilişkilendirilmiyordu ve bu da zaman zaman müşterilerin tam kapsamlı PAT’ler kullanarak bu API’leri kullanmasına neden oluyordu.” Bunlarla ilişkili çok çeşitli izinler endişe kaynağıydı.
Praetorian tetiği
Wolfson ayrıntılardan bahsetmese de diğerleri, değişikliğin Praetorian araştırmacıların diğer şirketlerin kurumsal ağlarına girmek için REST API PAT’lerini kullanmasından sonra geldiğini düşünüyor.
Bunlardan biri, sızan bir PAT sayesinde güvenliği ihlal edilen Microsoft’a ait GitHub web sitesiydi. Şirket şu anda sorunu çözmek için halka açık Beta’sında ince taneli PAT’lerin kullanımını deniyor.
Şimdi Wolfson, DevOps ekiplerinin değişikliği daha geç değil, daha erken yapması gerektiğini öneriyor. “Şu anda Azure DevOps REST API’lerinden birinde kimlik doğrulaması yapmak için tam kapsamlı bir PAT kullanıyorsanız, gereksiz erişimi önlemek için API tarafından kabul edilen belirli kapsama sahip bir PAT’a geçmeyi düşünün” dedi.
Belirli bir REST API için desteklenen granüler PAT kapsam(lar)ının, REST API dokümantasyon sayfalarının Güvenlik – Kapsamlar bölümünde bulunabileceğini ekledi.
Ek olarak, değişiklikler, müşterilerin bir kontrol düzlemi politikası aracılığıyla tam kapsamlı PAT’lerin nasıl oluşturulacağını kısıtlamasına olanak tanımalıdır.
Wolfson, “Müşterilerin DevOps ortamlarını güvence altına almalarına yardımcı olacak iyileştirmeler sunmaya devam etmeyi dört gözle bekliyoruz” dedi.
Aracılığıyla: Kayıt (yeni sekmede açılır)