Help us learn about your current experience with the documentation. Take the survey.
CircleCI 个人访问令牌(Personal Access Token)的机密密钥或令牌泄露
Description
检测到响应体中包含符合 CircleCI 个人访问令牌模式的内容。个人访问令牌授予与创建该令牌的用户相同的权限级别。拥有此令牌访问权限的恶意行为者可以冒充该用户,并访问 CircleCI 中的所有功能和服务。暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 关于 凭据暴露到互联网 的文档。
轮换个人访问令牌的步骤:
- 在 CircleCI 应用中,转到您的用户设置。
- 选择"个人 API 令牌"。
- 为您想要替换的令牌在"删除"列中选择"X",并确认删除。
- 选择"创建新令牌"。
- 在令牌名称字段中,为您正在轮换的旧令牌输入一个新名称。它可以与旧令牌的名称相同。
- 选择"添加 API 令牌"。
- 令牌出现后,将其复制并粘贴到其他位置。无法再次查看该令牌。
更多信息请参阅他们的 个人访问令牌轮换文档。
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.132 | false | 798 | Passive | High |