Vylepšené zabezpečení pomocí nového formátu tokenu pat
S radostí oznamujeme vylepšení formátu tokenů PAT (Personal Access Tokens), jejichž cílem je zvýšit zabezpečení a zvýšit možnosti detekce tajných kódů.
Podrobnosti najdete v poznámkách k verzi.
OBECNÉ
Pokročilé zabezpečení GitHubu pro Azure DevOps
Azure Pipelines
- Úlohy AzureFileCopy, AzurePowerShell a SqlAzureDacpacDeployment používají pouze moduly Az.
- Použití federace identit úloh pro úlohy kontejneru, prostředky a úlohy
OBECNÉ
Nový formát ověřování pro dostupné tokeny pat Azure DevOps
Provedli jsme aktualizace formátu tokenů pat přístupových tokenů (PAT) vydaných Službou Azure DevOps. Tyto změny poskytují další výhody zabezpečení a zlepšují nástroje pro detekci tajných kódů dostupné prostřednictvím našich partnerských nabídek, jako je GitHub Advanced Security pro Azure DevOps. Tato změna ve formátu PAT se řídí novým formátem doporučeným pro všechny produkty Microsoftu. Předpokládáme, že zahrnutí identifikovatelných bitů zlepší míru falešně pozitivní detekce těchto nástrojů pro detekci tajných kódů a umožní nám lépe zmírnit případné zjištěné úniky rychleji.
Délka našich tokenů se zejména zvýší z 52 znaků na 84 znaků, z nichž 52 bude randomizovaná data. To zlepšuje celkovou entropii generování tokenů, což nám umožňuje být odolnější vůči potenciálním útokům hrubou silou.
Doporučujeme okamžitě vygenerovat všechny paty, které se aktuálně používají, aby tyto změny využívaly. Můžete to provést na stránce Osobní přístupové tokeny vašeho profilu uživatele nebo pomocí rozhraní API pro správu životního cyklu tokenu patového tokenu. Integrátoři se také doporučují podporovat tuto novou délku tokenu i aktuální délku tokenu, zatímco se přizpůsobíte tomuto novému formátu.
Pokročilé zabezpečení GitHubu pro Azure DevOps
Automatizovaná instalace agenta v místním prostředí pro bity prohledávání kódu v rozšířeném zabezpečení
Aby se zjednodušilo používání agentů v místním prostředí ke kontrole kódu v Rozšířeném zabezpečení, je teď možné nainstalovat nejnovější bity CodeQL automaticky. Úkol Advanced-Security-Codeql-Init obsahuje novou proměnnou , enableAutomaticCodeQLInstall: truepro existující kanály nebo zaškrtávací políčko pro nové úlohy. Dříve jste museli ručně nainstalovat sadu CodeQL do adresáře nástrojů agenta.
Azure Pipelines
Úlohy AzureFileCopy, AzurePowerShell a SqlAzureDacpacDeployment používají pouze moduly Az.
Úlohy AzureFileCopy, AzurePowerShell a SqlAzureDacpacDeployment už nemůžou používat moduly AzureRM. Od února 2024 byl modul AzureRM PowerShell zastaralý a už se nepodporuje. I když může modul AzureRM stále fungovat, už se neudržuje a podle vašeho uvážení neumisťuje žádné další použití. Úlohy, které dříve mohly používat moduly AzureRmM nebo Az, teď používají pouze moduly Az. Pokud používáte úlohy na místních agentech, ujistěte se, že je na imagích předinstalovaný modul Az.
Použití federace identit úloh pro úlohy kontejneru, prostředky a úlohy
Připojení ke službě Docker, která cílí na Azure Container Registry, teď můžou používat federaci identit úloh a eliminují potřebu tajných kódů. Aktualizovaný seznam úkolů podporujících federaci identit úloh najdete v naší dokumentaci.
Další kroky
Poznámka:
Tyto funkce se budou zavádět během následujících dvou až tří týdnů.
Přejděte na Azure DevOps a podívejte se na ně.
Jak poskytnout zpětnou vazbu
Rádi bychom slyšeli, co si o těchto funkcích myslíte. Pomocí nabídky nápovědy můžete nahlásit problém nebo poskytnout návrh.
Můžete také získat rady a své otázky zodpovězené komunitou ve službě Stack Overflow.
Díky,
Silviu Andrica