正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密シークレットまたはトークンClojarsデプロイトークンの公開

説明

応答本文に、Clojarsデプロイトークンのパターンに一致するコンテンツが検出されました。デプロイトークンは、デプロイ時にパスワードの代わりに使用され、サインインには使用できません。トークンのスコープは、以下のように設定できます:

  • アクセスできるすべてのアーティファクト(「*」)
  • アクセスできるグループ内のすべてのアーティファクト(「group-name/*」)
  • アクセスできる特定のアーティファクト(「group-name/artifact-name」)このトークンにアクセスできる悪意のある攻撃者は、このアカウントを使用して悪意のあるClojure JARをデプロイできます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

セキュリティインシデント発生時の一般的なガイダンスについては、インターネットへの認証情報の公開に関するGitLabドキュメントを参照してください。

デプロイトークンを取り消すには:

  1. ログイン後、https://clojars.org/tokensにアクセスしてください。

  2. [既存のデプロイトークン]で、検出されたトークンを見つけます

  3. [トークンを無効化]を選択します。

    トークンを無効にすると、再度有効にすることはできません。

新しいデプロイトークンを作成するには:

  1. ログイン後、https://clojars.org/tokensにアクセスしてください。
  2. トークン名1を入力します。適切なトークンのスコープを選択します
  3. トークンが単回使用の場合は、[単回使用?]チェックボックスをオンにし、それ以外の場合は空白のままにします
  4. 有効期限日を設定します(90日を推奨)。
  5. [トークンの作成]を選択します。トークンの詳細については、ClojarsのWebサイトを参照してください。

詳細

ID集約CWEリスク
798.20いいえ798パッシブ