正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンセグメントの公開APIトークンの公開

説明

応答本文には、セグメントの公開APIトークンのパターンに一致するコンテンツが含まれていることが確認されました。セグメントの公開APIは、セグメントのワークスペースとそのリソースを管理するために使用されます。2種類のトークンがこのパターンに一致します。ワークスペースオーナートークンと、制限付きロールトークンです。一般に、これらのトークンを使用すると、APIの呼び出し元は、読み取り、書き込み、および削除操作を実行できます。ワークスペースオーナートークンへのアクセス権を持つ悪意のある攻撃者は、すべてのワークスペースデータにアクセスできます。制限付きロールトークンは、作成時にアクセス権が付与されたデータにアクセスできます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

キーの漏洩に関するセキュリティインシデントの取り扱いに関する一般的なガイダンスについては、GitLabドキュメントのインターネットへの認証情報の公開を参照してください。

公開APIトークンをローテーションするには:

  • セグメントアカウントにサインインし、https://app.segment.com/からワークスペースにアクセスします
  • 左側のメニューから「Settings」を選択し、「ワークスペース設定」に移動します
  • 「ワークスペース設定」ページの「アクセス管理」タブを選択します
  • 「アクセス管理」の「トークン」タブを選択します
  • 識別されたキーを見つけて選択します
  • 右側で、「トークンのアクセス許可」セクションの「トークンの編集」を選択します
  • 右上隅にある「トークンの削除」を選択します
  • プロンプトが表示されたら、ダイアログで「トークンの削除」を選択します

詳細については、公開APIに関するセグメントのドキュメントを参照してください。

詳細

ID集約CWEリスク
798.169いいえ798パッシブ