- General
- GitHub Advanced Security for Azure DevOps
- Azure Pipelines
- Next steps
- How to provide feedback
セキュリティの強化と秘密の検出機能の向上を目的とした、パーソナル・アクセストークン(PAT)のフォーマットの改良を発表できることを嬉しく思います!
詳細はリリースノートをご覧ください。
- AzureFileCopy, AzurePowerShell, SqlAzureDacpacDeploymentタスクはAzモジュールでのみ実行可能です
- コンテナージョブ、リソース、タスクにてWorkload identity federationが使用可能になりました
Azure DevOpsが発行するパーソナルアクセストークン(PAT)のフォーマットを更新しました。これらの変更は、さらなるセキュリティ上の利点を提供し、GitHub Advanced Security for Azure DevOpsや、パートナーから提供される、Azure Devopsで利用可能な秘密検出ツールの性能を改善します。このPAT形式の変更は、すべてのMicrosoft製品で推奨されている新しい形式に従っています。より多くの識別可能なビット情報が含まれるため、これらの秘密検出ツールの誤検出率が改善され、漏洩が検出されたキーをより迅速に緩和できるようになると期待しています。
特筆すべきは、トークンの長さが52文字から84文字に増加され、そのうち52文字がランダム化されたデータになることです。これにより、トークン生成の全体的なエントロピーが向上し、潜在的なブルートフォース攻撃に対する耐性が高まります。
この変更の恩恵を受けるために、現在使用中のすべてのPATを直ちに再生成することをお勧めします。これは、ユーザープロファイルのPersonal access tokensページで行うか、Personal Access Tokenのライフサイクル管理APIを使用して行うことができます。また、インテグレーターは、この新しいトークンの長さと現在のトークンの長さの両方をサポートすることをお勧めします。
Advanced Securityにおけるコードスキャン用のセルフホストエージェントの使用を簡素化するために、自動的に最新のCodeQLバイナリーのインストールが可能になりました。Advanced-Security-Codeql-Initタスクには、既存のパイプラインの場合はenableAutomaticCodeQLInstall: true、新しいタスクの場合はチェックボックスという新しい変数が含まれています。今までCodeQLバンドルをエージェントツールディレクトリに手動でインストールする必要がありました。
AzureFileCopy、AzurePowerShell、および SqlAzureDacpacDeployment タスクにおいて、AzureRM モジュールを使用できなくなりました。2024年2月の時点で、AzureRM PowerShellモジュールは非推奨となり、サポートされなくなったためです。AzureRM モジュールはまだ機能するかもしれませんが、メンテナンスされなくなったため、継続的な使用はお客様の判断に委ねられます。以前は AzureRmM または Az モジュールの両方を使用できたタスクは、現在 Az モジュールのみを使用します。セルフホストエージェントでタスクを使用する場合は、Az moduleがイメージにプリインストールされていることを確認してください。
Azure Container RegistryをターゲットとするDockerサービス接続は、Workload Identity Federationを使用できるようになり、シークレットが不要になりました。Workload Identity Federationをサポートするタスクの最新リストについては、当社のドキュメントを参照してください。
注意事項
ここで議論されている機能は今後二~三週にわたって順次展開されます。
Azure DevOpsサービスを体験してみてください。
これらの機能についてどう思っているかお聞きしたいと思います。 フィードバックメニューを使用して問題を報告するか、提案を提出してください。
アドバイスや回答を必要とする質問がある場合、Stack Overflowコミュニティで聞いてください。
ありがとうございました。
Silviu Andrica