微软通过“精细”权限加强 Azure 安全性

所有 Azure DevOps REST API 现在都获得精细的个人访问令牌 (PAT)。这一变化的目标在网络安全社区中得到了欢呼，它是为了最大限度地减少泄露的 PAT 凭证的潜在损害。

产品经理 Barry Wolfson通过 Azure DevOps博文宣布了这一消息，他表示，在更改之前，“组织面临着重大的安全风险，因为有可能访问源代码、生产基础设施和其他有价值的资产。”

“以前，许多 Azure DevOps REST API 未与 PAT 范围相关联，这有时会导致客户使用全范围 PAT 使用这些 API。”与这些相关的广泛权限是令人担忧的原因。

禁卫军的扳机

虽然 Wolfson 没有提及具体细节，但其他人推测这种变化似乎是在 Praetorian 研究人员使用 REST API PAT 进入其他公司的企业网络之后发生的。

其中之一是微软拥有的网站 GitHub，由于泄露的 PAT 而遭到破坏。该公司目前正在其公开测试版中试用细粒度 PAT 来解决这个问题。

现在，Wolfson 建议 DevOps 团队应该尽早做出改变，而不是推迟。他说：“如果您目前正在使用全范围 PAT 对其中一个 Azure DevOps REST API 进行身份验证，请考虑迁移到具有 API 接受的特定范围的 PAT，以避免不必要的访问”。

他补充说，可以在 REST API 文档页面的安全 - 范围部分找到给定 REST API 支持的粒度 PAT 范围。

此外，这些更改应使客户能够通过控制平面策略限制创建全范围 PAT 的方式。

“我们期待继续提供改进，以帮助客户保护他们的 DevOps 环境，”Wolfson 总结道。