Sécurité améliorée avec le nouveau format de jeton d’accès personnel
Nous sommes heureux d’annoncer des améliorations apportées au format des jetons d’accès personnels (PAT), visant à améliorer la sécurité et à améliorer les fonctionnalités de détection des secrets !
Pour plus d’informations, consultez les notes de publication.
Général
GitHub Advanced Security pour Azure DevOps
Azure Pipelines
- Les tâches AzureFileCopy, AzurePowerShell et SqlAzureDacpacDeployment utilisent uniquement des modules Az
- Utiliser la fédération des identités de charge de travail pour les travaux de conteneur, les ressources et les tâches
Général
Nouveau format d’authentification pour les jetons d’accès personnels Azure DevOps disponibles
Nous avons apporté des mises à jour au format des jetons d’accès personnels (PAT) émis par Azure DevOps. Ces modifications offrent des avantages de sécurité supplémentaires et améliorent les outils de détection des secrets disponibles via nos offres partenaires, telles que GitHub Advanced Security pour Azure DevOps. Cette modification du format PAT suit le nouveau format recommandé pour tous les produits Microsoft. Nous prévoyons que l’inclusion de bits plus identifiables améliore le taux de détection faux positifs de ces outils de détection secrète et nous permet d’atténuer les fuites détectées plus rapidement.
Notamment, la longueur de nos jetons passe de 52 caractères à 84 caractères, dont 52 seront des données aléatoires. Cela améliore l’entropie globale de la génération de jetons, ce qui nous permet d’être plus résistants aux attaques par force brute potentielle.
Vous êtes invité à régénérer tous les PAT actuellement en cours d’utilisation immédiatement pour bénéficier de ces modifications. Pour ce faire, accédez à la page Jetons d’accès personnels de votre profil utilisateur ou à l’aide des API de gestion du cycle de vie des jetons d’accès personnel. Les intégrateurs sont également recommandés pour prendre en charge cette nouvelle longueur de jeton et la longueur du jeton actuel, tout en vous adaptant à ce nouveau format.
GitHub Advanced Security pour Azure DevOps
Installation automatisée de l’agent auto-hébergé pour les bits d’analyse de code dans Advanced Security
Pour simplifier l’utilisation d’agents auto-hébergés pour l’analyse du code dans Advanced Security, les derniers bits CodeQL peuvent désormais être installés automatiquement. La Advanced-Security-Codeql-Init tâche inclut une nouvelle variable, enableAutomaticCodeQLInstall: truepour les pipelines existants ou une case à cocher pour les nouvelles tâches. Auparavant, vous deviez installer manuellement le bundle CodeQL dans le répertoire de l’outil agent.
Azure Pipelines
Les tâches AzureFileCopy, AzurePowerShell et SqlAzureDacpacDeployment utilisent uniquement des modules Az
Les tâches AzureFileCopy, AzurePowerShell et SqlAzureDacpacDeployment ne peuvent plus utiliser les modules AzureRM. Depuis février 2024, le module AzureRM PowerShell a été déconseillé et n’est plus pris en charge. Bien que le module AzureRM puisse toujours fonctionner, il n’est plus conservé, en plaçant une utilisation continue à votre discrétion. Les tâches qui pouvaient précédemment utiliser les modules AzureRmM ou Az n’utilisent désormais que des modules Az. Si vous utilisez des tâches sur des agents auto-hébergés, vérifiez que le module Az est préinstallé sur vos images.
Utiliser la fédération des identités de charge de travail pour les travaux de conteneur, les ressources et les tâches
Les connexions de service Docker ciblant Azure Container Registry peuvent désormais utiliser la fédération des identités de charge de travail, ce qui élimine la nécessité de secrets. Pour obtenir la liste mise à jour des tâches prenant en charge la fédération des identités de charge de travail, reportez-vous à notre documentation.
Étapes suivantes
Notes
Ces fonctionnalités seront déployées au cours des deux à trois prochaines semaines.
Accédez à Azure DevOps et jetez un coup d’œil.
Comment fournir des commentaires
Nous aimerions savoir ce que vous pensez de ces fonctionnalités. Utilisez le menu Aide pour signaler un problème ou faire une suggestion.
Vous pouvez également obtenir des conseils et répondre à vos questions par la communauté sur Stack Overflow.
Merci,
Silviu Andrica