Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 GitLab CI 构建令牌
描述
响应体中包含的内容被识别为符合 GitLab CI 构建(作业)令牌的模式。作业令牌用于在流水线作业的上下文中执行功能。在大多数情况下,作业令牌具有有限的权限,只能用于读取流水线执行所在的仓库。外部项目可以授予对其他项目作业令牌的访问权限。恶意行为者有一个有限的时间窗口来使用此令牌尝试访问仓库。 暴露此值可能允许攻击者获得此令牌授权的所有资源的访问权限。
修复建议
有关处理密钥泄露安全事件的通用指导,请参阅 GitLab 文档中关于 凭据暴露到互联网 的内容。由于作业令牌的生命周期较短,没有撤销过程,在创建它的作业完成后,该令牌将不再可用。 有关作业令牌允许访问的具体内容的更多详细信息,请参阅 GitLab 关于作业令牌的文档。
详情
| ID | 聚合 | CWE | 类型 | 风险 |
|---|---|---|---|---|
| 798.152 | false | 798 | Passive | High |