微软通过精细权限加强Azure安全性
所有AzureDevOpsRESTAPI现在都获得精细的个人访问令牌(PAT)。这一变化的目标在网络安全社区中得到了欢呼,它是为了最大限度地减少泄露的PAT
所有AzureDevOpsRESTAPI现在都获得精细的个人访问令牌(PAT)。这一变化的目标在网络安全社区中得到了欢呼,它是为了最大限度地减少泄露的PAT凭证的潜在损害。
产品经理BarryWolfson通过AzureDevOps博文宣布了这一消息,他表示,在更改之前,“组织面临着重大的安全风险,因为有可能访问源代码、生产基础设施和其他有价值的资产。”
“以前,许多AzureDevOpsRESTAPI未与PAT范围相关联,这有时会导致客户使用全范围PAT使用这些API。”与这些相关的广泛权限是令人担忧的原因。
虽然Wolfson没有提及具体细节,但其他人推测这种变化似乎是在Praetorian研究人员使用RESTAPIPAT进入其他公司的企业网络之后发生的。
其中之一是微软拥有的网站GitHub,由于泄露的PAT而遭到破坏。该公司目前正在其公开测试版中试用细粒度PAT来解决这个问题。
现在,Wolfson建议DevOps团队应该尽早做出改变,而不是推迟。他说:“如果您目前正在使用全范围PAT对其中一个AzureDevOpsRESTAPI进行身份验证,请考虑迁移到具有API接受的特定范围的PAT,以避免不必要的访问”。
他补充说,可以在RESTAPI文档页面的安全-范围部分找到给定RESTAPI支持的粒度PAT范围。
此外,这些更改应使客户能够通过控制平面策略限制创建全范围PAT的方式。
“我们期待继续提供改进,以帮助客户保护他们的DevOps环境,”Wolfson总结道。
推荐阅读
- 吉他 尤克里里 区别,如何区分尤克里里和吉他
- 侠盗猎车圣安地斯秘籍/侠盗猎车圣安地斯,作弊码
- 去一趟巴厘岛旅游要多少钱简介
- 苹果6s怎么升级系统,苹果6s怎么设置铃声
- 如何涂指甲油,怎样涂指甲油干得快
- 纪念碑谷艾达的梦攻略第四关,纪念碑谷艾达的梦攻略
- udk虚幻4引擎(游戏开发包工具)软件介绍(udk虚幻4引擎(游戏开发包工具))
- OG梅奥为什么离开nba Pubmed GIST文献月评第十九期(Jun 2018)
- 12306用户名和密码忘记怎么找回账号,12306用户名和密码忘记怎么找回
- 哈尔滨市极乐寺简介
- 二人麻将打法技巧,迅速如何掌握二人麻将技巧
- 故宫门票多少钱一张2021,故宫门票多少钱
- 如何删除微信中的表情包,微信如何删除自己保存的表情
- dnf已经有红字的怎么把红字洗掉,dnf已经洗出红字的装备怎么洗掉
- 海蛏子的家常做法,海蛏子的做法大全
- 微信聊天记录怎么恢复吗,微信聊天记录怎么恢复方法:
- qq飞车帧数如何能锁,QQ飞车帧数如何修改
- 1盎司相当于多少克黄金,盎司等于多少克及一盎司黄金等于多少克
- 怎么恢复路由器出厂,怎样恢复路由器出厂设置
- 触手tvlogo怎么买,如何录制触手TV文章