1Password推執行時憑證派發機制，減少工作負載長期持有權杖

1Password指出，不少企業在自動化流程中會建立服務帳號權杖，為避免任務失敗，常會先給較大的權限。專案結束或流程刪除後，這些權杖未必會同步撤銷，時間一久就可能累積成難以盤點的存取風險。Credential Broker要改變的是工作負載取得憑證的方式，使其不必事先持有可長期使用的權杖。

在GitHub Actions場景中，當工作流程啟動，GitHub會產生已簽章的身分權杖，說明該次執行的程式碼儲存庫、分支與工作流程。1Password會依照管理者設定的信任政策驗證身分資訊，再交付該工作被允許取得的特定1Password項目。自動化工作因此只會在需要時拿到必要憑證，而不是取得整個保管庫（vault）的常駐存取權。

官方表示，每次憑證請求都會記錄程式碼儲存庫、分支、工作流程、執行環境與程式碼提交。企業查看紀錄時，不再只是看見服務帳號曾存取憑證，也能追溯提出請求的自動化流程與執行環境。

不過，Credential Broker目前並未處理所有憑證生命週期問題，1Password也說明，工作負載從1Password取得憑證後，該憑證在上游系統能存活多久，仍取決於該系統本身的政策，例如資料庫密碼若在資料庫端仍是長期密碼，這個版本尚未提供自動輪替。現階段主要改變，是拿掉工作負載對1Password保管庫的常駐存取，並把每個自動化工作可取得的憑證限縮到實際需要的範圍。