Toutes les API REST Azure DevOps reçoivent désormais des jetons d’accès personnel (PAT) granulaires. L’objectif de ce changement, salué par la communauté de la cybersécurité, est de minimiser les dommages potentiels d’une fuite d’identifiants PAT.
Annonçant la nouvelle via un article de blog Azure DevOps, le chef de produit Barry Wolfson a déclaré qu'avant le changement, il existait « un risque de sécurité important pour les organisations étant donné la possibilité d'accéder au code source, à l'infrastructure de production et à d'autres actifs précieux ».
« Auparavant, plusieurs API REST Azure DevOps n'étaient pas associées à une portée PAT, ce qui conduisait parfois les clients à consommer ces API à l'aide de PAT à portée complète. Le large éventail de permis qui y sont associés était une source de préoccupation.
Déclencheur prétorien
Bien que Wolfson n'ait pas mentionné de détails, d'autres ont émis l'hypothèse que le changement semble s'être produit après que des chercheurs prétoriens ont utilisé les API REST de PAT pour accéder aux réseaux d'entreprise d'autres entreprises.
L’un d’eux était le site Web GitHub appartenant à Microsoft, qui a été compromis grâce à une fuite PAT. La société teste actuellement l'utilisation de PAT à granularité fine dans sa version bêta publique pour résoudre ce problème.
Wolfson suggère désormais aux équipes DevOps de procéder à la transition dès que possible. « Si vous utilisez actuellement un PAT complet pour vous authentifier auprès de l'une des API REST Azure DevOps, envisagez de migrer vers un PAT avec la portée spécifique acceptée par l'API pour éviter les accès inutiles », dit-il.
Les étendues PAT granulaires prises en charge pour une API REST donnée peuvent être trouvées dans la section Sécurité - Étendues des pages de documentation de l'API REST, a-t-il ajouté.
De plus, les changements devraient permettre aux clients de restreindre la création de PAT complets, via une politique de plan de contrôle.
« Nous sommes impatients de continuer à proposer des améliorations qui aideront les clients à sécuriser leurs environnements DevOps », a conclu Wolfson.
Via : Le registre (Ouvre dans un nouvel onglet)