正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンLinearクライアントシークレットまたはID(OAuth 2.0)の公開

説明

応答本文には、OAuth 2.0 LinearクライアントシークレットまたはIDのパターンに一致するコンテンツが含まれていることが確認されました。クライアントシークレットは、ユーザーがアプリケーションにサインインできるようにする際に使用されます。リクエストされたスコープによっては、悪意のある攻撃者がサービスになりすましてユーザーの情報にアクセスする可能性があります。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできる可能性があります。

修正

漏洩したキーに関するセキュリティインシデントの処理に関する一般的なガイダンスについては、認証情報のインターネットへの公開に関するGitLabドキュメントを参照してください。

Linear OAuth 2.0クライアントシークレットを失効するには:

  • https://linear.app/でアカウントにサインインします
  • 左上隅で組織を選択し、「Preferences」を選択します
  • 左側のメニューで、「My Account」の「API」を選択します
  • ページの「OAuth Applications」セクションで、識別されたキーを含むアプリケーションを見つけます
  • アプリケーション名の右側にある省略記号を選択し、「Manage application」を選択します。「Admin Actions」の横にある「Rotate secret」を選択します
  • プロンプトが表示されたら、「Rotate your client secret?」ダイアログで「Rotate」を選択します

詳細については、OAuth 2.0認証に関するLinearのドキュメントを参照してください。

詳細

ID集約CWEリスク
798.67いいえ798パッシブ