GitLab のパーソナルアクセストークン (PAT) は、多くの場合「api」や「read_api」のような広範な権限で自動化を認証します。これらの広範な権限は、トークンが侵害された場合に複数のプロジェクトをセキュリティリスクにさらす可能性があります。現在ベータ版であるきめ細かな PAT は、ユーザーが特定のタスクやリソースへのトークンアクセスを制限できるようにします。このアプローチは、権限をより狭くスコープすることで、潜在的な侵害の「爆発半径」を制限します。ユーザーは、リーチ（個人プロジェクト、全プロジェクト、または選択したプロジェクト）と許可されるアクション（作成、読み取り、更新、削除）に基づいてこれらのトークンを定義できます。以前は、単一のトークンですべてのリソースへのアクセスが付与されていましたが、きめ細かな PAT は、正確な権限を持つジョブごとにトークンを発行します。トークンテーブルは、スコープと権限を表示するように更新され、監査可能性を向上させ、過剰な権限を持つトークンを特定します。現在、きめ細かな PAT は REST API エンドポイントの約 75% をカバーしており、カバレッジを拡大する計画があります。ユーザーは、ベータ期間中に従来の PAT ときめ細かな PAT の両方を作成できます。これらのトークンを作成するには、ユーザーは設定に移動し、「Fine-grained token」を選択します。この機能を洗練し、最小権限のセキュリティプラクティスを促進するために、フィードバックが奨励されています。