GitLab의 개인 액세스 토큰(PAT)은 종종 "api" 또는 "read_api"와 같이 광범위한 권한으로 자동화를 인증합니다. 이러한 광범위한 권한은 토큰이 손상될 경우 여러 프로젝트를 보안 위험에 노출시킬 수 있습니다. 현재 베타 버전인 세분화된 PAT는 사용자가 토큰 액세스를 특정 작업 및 리소스로 제한할 수 있도록 합니다. 이 접근 방식은 권한을 더 좁게 범위 지정하여 잠재적인 침해의 "폭발 반경"을 제한합니다. 사용자는 도달 범위(개인 프로젝트, 모든 프로젝트 또는 선택한 프로젝트)와 허용되는 작업(생성, 읽기, 업데이트, 삭제)을 기반으로 이러한 토큰을 정의할 수 있습니다. 이전에는 단일 토큰이 모든 리소스에 대한 액세스를 부여했지만, 세분화된 PAT는 정확한 권한으로 작업별로 토큰을 발급합니다. 토큰 테이블은 범위 및 권한을 표시하도록 업데이트되어 감사 가능성을 개선하고 과도한 권한이 부여된 토큰을 식별합니다. 현재 세분화된 PAT는 REST API 엔드포인트의 약 75%를 다루고 있으며, 적용 범위를 확장할 계획입니다. 사용자는 베타 기간 동안 기존 PAT와 세분화된 PAT를 모두 생성할 수 있습니다. 이러한 토큰을 생성하려면 사용자는 설정으로 이동하여 "Fine-grained token"을 선택해야 합니다. 이 기능을 개선하고 최소 권한 보안 관행을 장려하기 위해 피드백이 권장됩니다.