使用新的个人访问令牌格式改进了安全性
我们很高兴地宣布对个人访问令牌(PAT)格式的改进,旨在增强安全性并提高机密检测功能!
有关详细信息,请查看发行说明。
常规
适用于 Azure DevOps 的 GitHub Advanced Security
Azure Pipelines
常规
Azure DevOps 个人访问令牌可用的新身份验证格式
我们已更新 Azure DevOps 颁发的个人访问令牌(PAT)格式。 这些更改提供了额外的安全优势,并通过合作伙伴产品/服务(例如 GitHub Advanced Security for Azure DevOps)获得改进机密检测工具。 PAT 格式的此更改遵循在所有Microsoft产品中推荐的新格式。 我们预计,包含更多可识别位将提高这些机密检测工具的误报检测率,并使我们能够更好地缓解检测到的任何泄漏。
值得注意的是,令牌长度从 52 个字符增加到 84 个字符,其中 52 个字符将随机化数据。 这提高了令牌生成的总体萎缩性,使我们能够对潜在的暴力攻击更具抵抗力。
建议立即重新生成当前正在使用的所有 PAT,以便从这些更改中受益。 这可以在用户配置文件的个人访问令牌页上或使用个人访问令牌生命周期管理 API 来完成。 此外,建议集成器支持此新令牌长度和当前令牌长度,同时适应此新格式。
适用于 Azure DevOps 的 GitHub Advanced Security
自动自承载代理安装,用于高级安全性中的代码扫描位
为了简化在高级安全性中使用自承载代理进行代码扫描,现在可以自动安装最新的 CodeQL 位。 该 Advanced-Security-Codeql-Init 任务包括新变量、 enableAutomaticCodeQLInstall: true现有管道或新任务的复选框。 以前,必须在代理工具目录中手动安装 CodeQL 捆绑包。
Azure Pipelines
AzureFileCopy、AzurePowerShell 和 SqlAzureDacpacDeployment 任务仅使用 Az 模块
AzureFileCopy、AzurePowerShell 和 SqlAzureDacpacDeployment 任务不能再使用 AzureRM 模块。 自 2024 年 2 月起, AzureRM PowerShell 模块已弃用 ,不再受支持。 虽然 AzureRM 模块可能仍然正常运行,但它不再保持运行,可以随意使用任何继续使用。 以前可以使用 AzureRmM 或 Az 模块的任务现在仅使用 Az 模块。 如果在自承载代理上使用任务,请确保 在映像上预安装了 Az 模块 。
对容器作业、资源和任务使用工作负荷标识联合身份验证
面向Azure 容器注册表的 Docker 服务连接现在可以使用工作负荷标识联合,无需机密。 有关支持工作负荷联合身份验证的任务的更新列表,请参阅 我们的文档。
后续步骤
注意
这些功能将在未来两到三周内推出。
前往 Azure DevOps 并了解一下。
如何提供反馈
我们很想听听你对这些功能的看法。 使用帮助菜单报告问题或提供建议。
你还可以在 Stack Overflow 上获得社区的建议和问题的答案。
此致
Silviu Andrica