Как мы храним ваши учетные данные для Azure DevOps Services

  • Статья

Azure DevOps Services

Важно!

Azure DevOps больше не поддерживает проверку подлинности с альтернативными учетными данными с начала 2 марта 2020 г. Если вы по-прежнему используете альтернативные учетные данные, настоятельно рекомендуем перейти на более безопасный метод проверки подлинности (например, личные маркеры доступа). Подробнее.

Безопасность учетных данных

Корпорация Майкрософт стремится обеспечить безопасность ваших проектов без исключения. В Azure DevOps для ваших проектов используются несколько уровней технологий безопасности и управления, операционных методик и политик соответствия требованиям. Мы соблюдаем конфиденциальность и целостность данных как при хранении, так и при передаче. Кроме того, мы придерживаемся следующих методик в отношении учетных данных или секретов, которые хранятся в Azure DevOps. Дополнительные сведения о выборе правильного механизма проверки подлинности см. в статье Руководство по проверке подлинности.

Личные маркеры доступа (PAT)

  • Мы храним хэш PAT
  • Необработанный pat создается в памяти на стороне сервера в виде 32 байт, случайным образом создаваемых через RNGCryptoServiceProvider, а затем совместно с вызывающим объектом в виде строки в кодировке base-32. Это значение НЕ сохраняется
  • Хэш PAT создается в памяти на стороне сервера в виде HMACSHA256Hash необработанного pat с помощью 64-байтового симметричного ключа подписывания, хранящегося в хранилище ключей.
  • Хэш хранится в нашей базе данных

Ключи secure shell (SSH)

  • Мы храним хэш включающего идентификатора организации и открытого ключа SSH.
  • Необработанный открытый ключ предоставляется непосредственно вызывающим по протоколу SSL.
  • Хэш SSH создается в памяти на стороне сервера в виде HMACSHA256Hash идентификатора организации и необработанного открытого ключа с использованием 64-байтового симметричного ключа подписывания, хранящегося в нашем хранилище ключей.
  • Хэш хранится в нашей базе данных

Учетные данные OAuth (JWT)

  • Они выдаются как полностью самоописующие веб-маркеры JSON (JWT) и НЕ хранятся в нашей службе.
  • Утверждения в JWT, выданные и представленные нашей службе, проверяются с помощью сертификата, хранящегося в хранилище ключей.