幾周前,網路安全公司Praetorian概述了其研究人員如何使用微軟的GitHub作為其持續整合與持續交付(Continuous integration/Continuous Deployment,CI/CD)的工具以進入公司內部網路。他們從意外洩露的個人存取權杖(personal access token ,PAT)取得了對GitHub的存取,並稱GitHub的「細密(granular)存取權杖」測試版是朝正確的方向邁進。
PAT是密碼的替代品,用於驗證存取進入系統或網站的身份,及使用API和指令碼的開發人員身份。PAT嵌入了大量資訊。以Azure DevOps來說,它儲存了一個人的安全憑證,並識別使用者可以存取的組織以及存取範圍。
根據Praetorian的報告,開發人員可以透過多種方式無意中洩露PAT:透過網路釣魚使筆記型電腦資料被竊取,或在錯誤時將PAT包含在命令列檔案中。
Azure DevOps的產品經理Barry Wolfson表示,為了縮小對PAT的威脅,Azure DevOps團隊最近為所有Azure DevOps REST API建立了一個細密的PAT權限範圍。OAuth2範圍使組織能夠限制PAT的存取許可權。Wolfson也鼓勵原本使用「全權限範圍PAT」的開發人員遷移到「具有特定權限範圍的PAT」,以排除不必要的存取。
Azure DevOps團隊的倡議是在GitHub採取類似措施後不到一個月後提出的。在此之前,PAT提供了「非常粗獷」(very coarse-grained)的許可權,允許存取權杖使用者擁有幾乎所有的資料庫資訊。然而,現在已改變為細密的個人存取權杖使開發人員能夠對他們授予PAT的許可權和資料庫存取進行更精確的權限控制。
細密權杖從一組50多個分類的許可權中獲得許可權,這些許可權控制了對GitHub組織、使用者和資料庫API的存取。
相關連結:Jeff Burt(2022). Microsoft moves to tighten Azure DevOps security with granular access tokens. TheRegister. 檢自:https://www.theregister.com/2022/11/11/microsoft_azure_pat_scope/?td=keepreading (Nov. 21, 2022)
