Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 CircleCI 访问令牌
Description
响应体中包含的内容符合 CircleCI 项目令牌的模式。CircleCI 项目令牌可以授予三种权限范围之一:- Status - Read Only - Admin 根据检测到的令牌的访问级别,拥有此令牌的恶意行为者可能能够获得对项目和 CI/CD 管道的完全访问权限。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
要轮换项目令牌:
- 在 CircleCI 应用程序中,选择侧边栏中的 Projects,然后选择项目旁边的省略号 (…),并选择 “Project Settings”。
- 选择 API Permissions。
- 选择要替换的令牌在 Remove 列中的 “X”。当确认窗口出现时,在表单中输入文本 DELETE,然后选择 “Delete API Token”。
- 选择 “Create API Token”。
- 从下拉列表中选择与旧令牌相同的范围。
- 在 Label 字段中,为令键输入一个标签。 它可以与旧令牌的名称相同。
- 选择 “Add API Token”。
有关更多信息,请参阅他们的 轮换项目令牌文档。
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.131 | false | 798 | Passive | High |