Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 GitLab 部署令牌
Description
响应体中包含与 GitLab 部署令牌模式匹配的内容。部署令牌允许独立于用户账户进行部署任务的身份验证。使用部署令牌,自动化任务可以:
- 克隆 Git 仓库
- 从 GitLab 容器仓库拉取和推送
- 从 GitLab 包仓库拉取和推送 拥有此令牌访问权限的恶意行为者可以访问 Git 仓库或破坏已发布的包或容器。暴露此值可能允许攻击者获得此令牌授权的所有资源的访问权限。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 文档中的 凭据暴露到互联网。
更多信息,请参阅 GitLab 关于撤销部署令牌的文档。
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.150 | 否 | 798 | 被动 | 高 |