Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 GitLab 管道触发令牌
描述
响应体中包含被识别为与 GitLab 管道触发令牌模式匹配的内容。管道触发令牌可用于执行项目分支或标签的管道。该令牌模拟用户的项目访问权限。拥有此令牌的恶意行为者可以执行带有自定义变量的管道,可能危及仓库安全。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复措施
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 文档中的 凭据暴露到互联网。
要撤销管道触发令牌:
- 登录您的 GitLab 账户并访问创建管道触发令牌的项目
- 在左侧菜单中,选择"设置"
- 在"设置"选项下,选择"CI/CD"
- 在"管道触发令牌"部分找到被识别的令牌
- 在"活动管道触发令牌"表的"操作"列中选择垃圾桶图标
- 当提示时,选择"撤销触发"
更多信息,请参阅 GitLab 关于管道触发令牌的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.142 | false | 798 | Passive | High |