微软通过精细权限加强Azure安全性

所有AzureDevOpsRESTAPI现在都获得精细的个人访问令牌(PAT)。这一变化的目标在网络安全社区中得到了欢呼，它是为了最大限度地减少泄露的PAT凭证的潜在损害。

产品经理BarryWolfson通过AzureDevOps博文宣布了这一消息，他表示，在更改之前，“组织面临着重大的安全风险，因为有可能访问源代码、生产基础设施和其他有价值的资产。”

“以前，许多AzureDevOpsRESTAPI未与PAT范围相关联，这有时会导致客户使用全范围PAT使用这些API。”与这些相关的广泛权限是令人担忧的原因。

虽然Wolfson没有提及具体细节，但其他人推测这种变化似乎是在Praetorian研究人员使用RESTAPIPAT进入其他公司的企业网络之后发生的。

其中之一是微软拥有的网站GitHub，由于泄露的PAT而遭到破坏。该公司目前正在其公开测试版中试用细粒度PAT来解决这个问题。

现在，Wolfson建议DevOps团队应该尽早做出改变，而不是推迟。他说：“如果您目前正在使用全范围PAT对其中一个AzureDevOpsRESTAPI进行身份验证，请考虑迁移到具有API接受的特定范围的PAT，以避免不必要的访问”。

他补充说，可以在RESTAPI文档页面的安全-范围部分找到给定RESTAPI支持的粒度PAT范围。

此外，这些更改应使客户能够通过控制平面策略限制创建全范围PAT的方式。

“我们期待继续提供改进，以帮助客户保护他们的DevOps环境，”Wolfson总结道。