En un esfuerzo continuo por mejorar las prácticas y métodos de seguridad, se han anunciado cambios significativos en la API de Publicación para desarrolladores de extensiones de Edge como parte de la Microsoft Secure Future Initiative. Estas modificaciones están diseñadas para aumentar la seguridad de las extensiones y optimizar el proceso de publicación.
La nueva API de Publicación introduce varias mejoras clave en seguridad:
Generación mejorada de claves API: Con la nueva API, las claves API se generan automáticamente por los servicios de back-end, lo que incluye la regeneración del ClientId y las claves API para cada desarrollador. Esto reduce la dependencia de credenciales estáticas, fortaleciendo así la seguridad.
Gestión de claves API: En lugar de crear y eliminar secretos desde el registro de la aplicación, ahora se gestionan los hashes de las claves API en la base de datos. Este método asegura que la información sensible no se almacene directamente, incrementando la protección.
URL de token de acceso: La nueva API de Publicación genera internamente la URL del token de acceso, eliminando la necesidad de enviarla externamente. Aunque esto puede requerir actualizaciones en las configuraciones del pipeline CI/CD, minimiza el riesgo de exposición de información confidencial.
- Expiración de claves API: Las claves API ahora expirarán cada 72 días, en comparación con el período de dos años anterior. Esto asegura una rotación más frecuente de las claves, reduciendo el riesgo de credenciales comprometidas. Los desarrolladores recibirán notificaciones por correo electrónico antes de la expiración de sus claves API.
El nuevo aspecto de la página de la API de Publicación en Partner Center reflejará estos cambios, con una transición guiada para los desarrolladores que opten por esta nueva experiencia. Para comenzar, los desarrolladores deberán optar por la gestión de claves API en Partner Center, regenerar sus ClientId y secretos, y reconfigurar los pipelines CI/CD según sea necesario.
Microsoft ha facilitado la transición al permitir que los desarrolladores opten de manera voluntaria a la nueva experiencia. Esto les brinda la flexibilidad de adaptar sus procesos a su propio ritmo. En caso de necesidad, también es posible volver a la experiencia anterior, aunque se anima a todos a adoptar la nueva, más segura.
Estas mejoras en la API de Publicación no solo proporcionarán mayor protección a las extensiones, sino que también mejorarán la seguridad del proceso de publicación. Para consultas o comentarios, los desarrolladores pueden contactar a Microsoft abriendo un issue en el repositorio de GitHub de Microsoft Edge Extensions.
vía: Microsoft Windows blog
