Microsoft, geliştirici hesapları için güvenliği ve tarayıcı uzantılarının güncellenmesini artıran "Edge Extension Geliştiricileri için yayınlama" nın güncellenmiş bir sürümünü tanıttı.
İlk olarak yeni bir Microsoft Edge tarayıcı uzantısı yayınlarken, geliştiricilerin iş ortağı merkezinden göndermeleri gerekmektedir. Onaylandıktan sonra, sonraki güncellemeler Ortak Merkezi veya Yayın API'sı aracılığıyla yapılabilir.
Microsoft'un Güvenli Gelecek Girişimi kapsamında, şirket, uzantıların kötü amaçlı kodla kaçırılmasını önlemek için tarayıcı uzantısı yayınlama süreci de dahil olmak üzere tüm ürün gruplarında güvenliği artırıyor.
Yeni yayın API ile, sırlar artık her geliştirici için dinamik olarak oluşturulan API anahtarlarıdır ve statik kimlik bilgilerinin kod veya diğer ihlallerde maruz kalma riskini azaltır.
Bu API anahtarları artık Microsoft'un veritabanlarında anahtarların kendileri yerine karma olarak saklanacak ve API anahtarlarının olası sızmasını daha da önleyecek.
Güvenliği daha da artırmak için, erişim belirteci URL'leri dahili olarak oluşturulur ve uzantılarını güncellerken Dev tarafından gönderilmesi gerekmez. Bu, kötü niyetli uzatma güncellemelerini zorlamak için kullanılabilecek ek URL'lerin ek risklerini sınırlayarak güvenliği daha da artırır.
Son olarak, yeni Publish API'sı, önceki iki yılına kıyasla her 72 günde bir API anahtarlarının süresi dolacak. Sırlar daha sık döner, bir sırın ortaya çıkması durumunda sürekli kötüye kullanımı önler.
Edge geliştiricileri, ortak merkez kontrol panellerinde yeni API anahtar yönetimi deneyimini deneyebilir.
Geliştiricilerin daha sonra müşterilerini ve sırlarını yeniden oluşturmaları ve mevcut CI/CD boru hatlarını yeniden yapılandırmaları gerekecektir.
Yazılım geliştiricileri genellikle kimlik bilgilerini çalmak için kimlik avı saldırılarına ve bilgi çalan kötü amaçlı yazılım kampanyalarına yöneliktir.
Bu kimlik bilgileri daha sonra kaynak kodunu çalmak veya tedarik zinciri saldırılarındaki meşru projeleri tehlikeye atmak için kullanılır.
Microsoft şu anda yeni Publish API'sına geçmenin bozulmasını en aza indirmek için bu yeni süreci "katılma" yaparken, güncellenmiş yayın API'sının gelecekte zorunlu olması şaşırtıcı olmayacaktır.
Microsoft'un duyurusu, "Yeni Publish API'sına geçmenin bozulmasını en aza indirmek için, bunu bir katılım deneyimi haline getirdik. Bu, yeni deneyime kendi hızınızla geçmenizi sağlıyor."
"Gerekirse, herkesi mümkün olan en kısa sürede yeni, daha güvenli, deneyime geçmeye teşvik etmemize rağmen, önceki deneyime de katılabilir ve geri dönebilirsiniz."
Diyerek şöyle devam etti: "Yeni Publish API ile gelen güvenlik geliştirmeleri, uzantılarınızın korunmasına ve yayıncılık sürecinin güvenliğini artırmaya yardımcı olacaktır."
Microsoft Edge, performans sorunlarına neden olan uzantıları işaretleyecek
Kötü amaçlı yazılım kuvvetleri 300.000 tarayıcıda krom uzantıları, yamalar dlls
Windows 11 24H2 Şimdi Yayınlanıyor, İşte Yeni Özellikler
Microsoft: Windows hatırlama şimdi kaldırılabilir, daha güvenlidir
Windows 10 KB5043131 Güncellemesi 9 değişiklik ve düzeltme ile yayınlandı
Kaynak: Bleeping Computer