Todas las API REST de Azure DevOps ahora obtienen tokens de acceso personal (PAT) granulares. El objetivo del cambio, que fue recibido con regocijo en la comunidad de ciberseguridad, es minimizar el daño potencial de una credencial PAT filtrada.
Al anunciar la noticia a través de una publicación de blog de Azure DevOps, el gerente de producto Barry Wolfson dijo que antes del cambio, existía un «riesgo de seguridad significativo para las organizaciones, dado el potencial para acceder al código fuente, la infraestructura de producción y otros activos valiosos».
«Anteriormente, varias API REST de Azure DevOps no estaban asociadas con un alcance PAT, lo que a veces llevó a los clientes a consumir estas API usando PAT de alcance completo». La amplia gama de permisos asociados con estos fue motivo de preocupación.
Gatillo de pretoriano
Si bien Wolfson no mencionó detalles, otros han especulado que el cambio parece haberse producido después de que los investigadores de Praetorian usaran REST API PAT para ingresar a las redes corporativas de otras compañías.
Uno de ellos fue el sitio web GitHub, propiedad de Microsoft, que se vio comprometido gracias a una PAT filtrada. Actualmente, la compañía está probando el uso de PAT de grano fino en su Beta pública para solucionar el problema.
Ahora, Wolfson sugiere que los equipos de DevOps deberían hacer el cambio más temprano que tarde. “Si actualmente está utilizando un PAT de alcance completo para autenticarse en una de las API REST de Azure DevOps, considere migrar a un PAT con el alcance específico aceptado por la API para evitar el acceso innecesario”, dijo.
Los alcances de PAT granular admitidos para una API REST determinada se pueden encontrar en la sección Seguridad – Alcances de las páginas de documentación de la API REST, agregó.
Además, los cambios deberían permitir a los clientes restringir la forma en que se crean las PAT de ámbito completo, a través de una política de plano de control.
“Esperamos continuar enviando mejoras que ayudarán a los clientes a proteger sus entornos DevOps”, concluyó Wolfson.
Vía: El Registro (se abre en una pestaña nueva)