Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 Pulumi API 令牌
Description
响应体中包含的内容被识别为符合 Pulumi API 令牌的模式。个人访问令牌映射到用户的权限。拥有此令牌访问权限的恶意行为者可以以令牌所有者的身份删除堆栈、标签、更新和 Webhook。暴露此值可能允许攻击者访问此令牌授予的所有资源。
Remediation
有关处理密钥泄露相关安全事件的通用指导,请参阅 GitLab 文档中关于 凭据暴露到互联网 的内容。要撤销 API 令牌:
- 登录您的 Pulumi 账户并访问 https://app.pulumi.com/
- 在右上角,选择个人资料图片并选择"个人访问令牌"
- 找到已识别的令牌,在密钥的"操作"列中选择省略号,然后选择"删除令牌"
- 当提示时,在"删除令牌"对话框中选择"删除令牌"
有关更多信息,请参阅 Pulumi 关于个人访问令牌的文档。
Details
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.95 | false | 798 | 被动 | 高 |