Como armazenamos suas credenciais para Azure DevOps Services

Azure DevOps Services

Importante

Azure DevOps dá suporte à autenticação de Credenciais Alternativas desde o início de 2 de março de 2020. Se você ainda estiver usando Credenciais Alternativas, recomendamos que você mude para um método de autenticação mais seguro (por exemplo, tokens de acesso pessoal). Saiba mais.

Segurança de credenciais

A Microsoft está comprometida em garantir que seus projetos permaneçam seguros e seguros, sem exceção. Nesse Azure DevOps, seus projetos se beneficiam de várias camadas de tecnologias de segurança e governança, práticas operacionais e políticas de conformidade. Impõemos privacidade e integridade de dados em repouso e em trânsito. Além disso, aderimos às práticas a seguir em relação às credenciais ou segredos que Azure DevOps armazena. Para saber mais sobre como escolher o mecanismo de autenticação correto, consulte Diretrizes para autenticação.

PATs (tokens de acesso pessoal)

  • Armazenamos um hash do PAT
  • PAT bruto é gerado na memória no lado do servidor como 32 bytes gerados aleatoriamente por meio de RNGCryptoServiceProvider e compartilhado com o chamador como uma cadeia de caracteres codificada em base 32. Esse valor NÃO está armazenado
  • O hash PAT é gerado na memória no lado do servidor como uma HMACSHA256Hash do PAT bruto usando uma chave de assinatura simétrica de 64 byte armazenada em nosso cofre de chaves
  • O hash é armazenado em nosso banco de dados

Chaves SSH (secure shell)

  • Armazenamos um hash da ID da organização delimitadora e da chave pública SSH
  • A chave pública bruta é fornecida diretamente pelo chamador por SSL
  • O hash SSH é gerado na memória no lado do servidor como uma HMACSHA256Hash da ID da organização e chave pública bruta usando uma chave de assinatura simétrica de 64 byte armazenada em nosso cofre de chaves
  • O hash é armazenado em nosso banco de dados

Credenciais OAuth (JWTs)

  • Eles são emitidos como JWTs (tokens Web JSON) totalmente autodescretivos e NÃO são armazenados em nosso serviço
  • As declarações em JWTs emitidas e apresentadas ao nosso serviço são validadas usando um certificado armazenado em nosso cofre de chaves