GitHub Connections agora disponíveis para clientes do Octopus Server auto-hospedado

O Octopus Server auto-hospedado agora elimina o uso de tokens de acesso pessoal (PATs) na integração com GitHub, adotando OIDC para autenticação segura e dinâmica. Isso significa que tokens de curta duração são gerados sob demanda, vinculados diretamente à instalação do app no GitHub e com permissões limitadas ao escopo do repositório, nada mais de credenciais estáticas armazenadas em variáveis de pipeline ou em arquivos de configuração. A mudança não é só técnica, é cultural: a responsabilidade por credenciais deixa de ser do desenvolvedor e passa a ser do sistema, reduzindo riscos humanos e operacionais.

Para ambientes isolados, a solução de chaves de assinatura hospedadas externamente é um gancho elegante. Em vez de abrir portas de entrada no firewall para o GitHub validar tokens, o servidor Octopus publica apenas a chave pública em um storage acessível publicamente, S3, Blob Storage, até um servidor interno exposto via CDN. O GitHub consulta essa chave sem jamais tocar no servidor interno. É infraestrutura como código aplicada à segurança: o que é exposto é mínimo, controlado e revogável.

Essa mudança afeta diretamente equipes que operam em ambientes regulados, financeiros ou governamentais, onde o uso de PATs é proibido por políticas de segurança. A adoção de OIDC alinha o Octopus a padrões como NIST e CIS, além de reduzir o esforço de rotação de credenciais, algo que, em grandes organizações, pode representar centenas de horas de trabalho anual. Também desbloqueia a automação de pipelines em ambientes híbridos, onde a nuvem pública e o data center coexistem sem comunicação direta. Ainda que não suporte GitHub Enterprise Server ainda, o caminho está traçado: a próxima versão provavelmente seguirá o mesmo modelo, com ajustes para tokens OIDC entre instâncias auto-hospedadas.