正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンであるPulumi APIトークンの暴露

説明

応答の本文には、Pulumi APIトークンのパターンに一致するコンテンツが含まれていることが確認されました。パーソナルアクセストークンは、ユーザーの権限にマップされます。このトークンにアクセスできる悪意のある攻撃者は、アクセストークンのオーナーとして、スタック、タグ、更新、Webhookを削除できます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

漏洩したキーに関するセキュリティインシデントの処理に関する一般的なガイダンスについては、インターネットへの認証情報の公開に関するGitLabドキュメントを参照してください。APIトークンを失効するには:

  • Pulumiアカウントにサインインしてhttps://app.pulumi.com/にアクセスします
  • 右上隅で、プロファイル画像を選択し、「パーソナルアクセストークン」を選択します
  • 識別されたトークンを見つけ、キーの「アクション」列の省略記号を選択し、「トークンの削除」を選択します
  • プロンプトが表示されたら、[トークンの削除]ダイアログで[トークンの削除]を選択します

詳細については、パーソナルアクセストークンに関するPulumiのドキュメントを参照してください。

詳細

ID集計CWEリスク
798.95いいえ798パッシブ