GitHub Secret Scanning
2023年5月中旬以降、Workato Developer APIクライアントトークンはGitHub Secret Scanningと統合され、APIトークンがpublic GitHubリポジトリ上のプレーンテキストで見つかった場合に、追加のセキュリティ層を提供できるようになりました。
これらのトークンが見つかった場合、Workatoは次の手順を実行します。
- Developer APIトークンを失効させ、不正な行為者がWorkatoワークスペースに不正アクセスできないようにする
- 漏えいしたトークンについて、見つかった場所や漏えいしたトークンからの復旧方法に関する情報を含め、ワークスペース管理者にメールを送信する
漏えいしたトークンのメール
TIP
トークンが漏えいした場合に関係者へ確実に通知されるように、ワークスペース管理者をメール通知リストに追加してください。 これは、ワークスペース管理者としてログインしているときにワークスペース設定に移動することで実行できます。
- Workato UIでAPIクライアントを漏えい済みとしてマークする
- APIトークンが漏えいしたことを示す監査ログイベントを追加する
漏えいしたトークンの監査イベント
トークンを即座に失効させる理由
ヒューマンエラーは、悪意のある行為者がお客様のアカウントにアクセスできる最も一般的な原因の1つです。 多くの悪意のある行為者が、漏えいしたトークンを見つけるためにGitHub publicリポジトリでクローラーを使用していることがわかっています。そのため、Workatoワークスペースを保護できることが重要です。
Last updated: