正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンNPMアクセストークンの公開

説明

レスポンス本文に、NPMアクセストークンのパターンに一致するコンテンツが含まれていることが確認されました。アクセストークンには、クラシックまたはグラニュールのいずれかがあり、どちらも権限のカスタマイズが可能です。権限によっては、このトークンへのアクセスを持つ悪意のある攻撃者が、パッケージとパッケージ情報を読み取りったり、新しいパッケージを作成して、それらを作成したアカウントで公開したりすることができます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

漏洩したキーに関するセキュリティインシデントの処理に関する一般的なガイダンスについては、GitLabドキュメントのインターネットへの認証情報の公開を参照してください。

UIからアクセストークンを失効するには、次の手順に従います:

  • https://www.npmjs.com/loginでNPMアカウントにサインインします
  • 右上隅で、プロフィール画像を選択し、「アクセストークン」を選択します
  • 識別されたトークンを見つけ、「削除」列の「x」を選択します
  • プロンプトが表示されたら、ダイアログで「OK」を選択します

詳細については、NPMのアクセストークンの失効に関するドキュメントを参照してください。

詳細

ID集計CWEリスク
798.84いいえ798パッシブ