Help us learn about your current experience with the documentation. Take the survey.
暴露机密密钥或令牌 PyPi 上传令牌
描述
响应体中包含与 PyPi 上传令牌模式匹配的内容。上传令牌用于上传 Python 包以发布 Python 包。拥有此令牌的恶意行为者可以上传潜在的恶意工件。 暴露此值可能允许攻击者访问此令牌授予的所有资源。
修复建议
有关处理密钥泄露相关安全事件的一般指导,请参阅 GitLab 文档中的 凭据暴露到互联网。 强烈建议切换到 OIDC Connect,而不是使用 PyPi 上传令牌。请参阅 PyPi 关于可信发布者的文档。
要删除 PyPi 上传令牌:
- 登录您的 PyPi 账户并访问 https://pypi.org/manage/account/
- 向下滚动到 “API 令牌” 部分
- 找到已识别的令牌并选择 “选项” 下拉列表
- 选择 “删除令牌”
- 当提示时,输入您的密码并选择 “删除 API 令牌”
有关更多信息,请参阅 PyPi 关于上传令牌的文档。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 798.96 | false | 798 | Passive | High |