Microsoftは、開発者アカウントのセキュリティとブラウザ拡張機能の更新を強化する「Edge拡張機能開発者向けPublish API」の更新版を発表した。
新しいMicrosoft Edgeブラウザ拡張機能を初めて公開する場合、開発者はPartner Centerを通じてそれを提出する必要があります。一度承認されると、その後の更新はPartner CenterまたはPublish APIを通じて行うことができます。
Microsoftは、Secure Future Initiativeの一環として、ブラウザ拡張機能の公開プロセスを含むすべての製品グループのセキュリティを強化し、悪意のあるコードによる拡張機能の乗っ取りを防止しています。
新しい Publish API では、開発者ごとに API キーが動的に生成されるようになり、静的な認証情報がコードやその他の侵害によって公開されるリスクが軽減されます。
これらのAPIキーは、キーそのものではなく、ハッシュとしてマイクロソフトのデータベースに保存されるようになり、APIキーの漏えいの可能性をさらに防ぐことができる。
さらにセキュリティを高めるため、アクセストークンのURLは内部で生成され、開発者が拡張機能を更新する際に送信する必要はない。これは、悪意のある拡張機能のアップデートをプッシュするために使用される可能性のあるURLを公開する追加的なリスクを制限することで、セキュリティをさらに向上させます。
最後に、新しいPublish APIでは、APIキーが72日ごとに失効します。シークレットをより頻繁にローテーションすることで、シークレットが公開された場合に悪用され続けることを防ぎます。
Edgeの開発者は、Partner Centerのダッシュボードで新しいAPIキー管理を試すことができます。
その後、開発者はClientIdとシークレットを再生成し、既存のCI/CDパイプラインを再設定する必要があります。
ソフトウェア開発者は、フィッシング攻撃や 情報窃取マルウェアのキャンペーンで一般的に標的とされ、認証情報を盗まれます。
これらの認証情報は、ソースコードを盗んだり、サプライチェーン攻撃で正当なプロジェクトを侵害するために使用される。
Microsoftは現在、新しいPublish APIに移行する際の混乱を最小限に抑えるために、この新しいプロセスを「オプトイン」にしているが、将来的に更新されたPublish APIが必須になることは驚くべきことではない。
“新しいPublish APIに移行する際の混乱を最小限に抑えるため、私たちはこれをオプトインのエクスペリエンスにしました。これにより、ご自身のペースで新しいエクスペリエンスに移行することができます。
「必要であれば、オプトアウトして以前のエクスペリエンスに戻すこともできますが、できるだけ早く、よりセキュアな新しいエクスペリエンスに移行することをお勧めします。
「新しいPublish APIで提供されるセキュリティの強化は、エクステンションを保護し、パブリッシュプロセスのセキュリティを向上させるのに役立ちます。
Comments