知らなかったのですが、2018/7/12にnpmパッケージのeslint-scope (version 3.7.2) とeslint-config-eslint (version 5.0.2)がクラッキング受けたんだそうですね。
2018-07-12 12:30(UTC)以前に発行されたすべてのnpmアクセストークンが無効化されているそうです。
で、これを受けてVSTSでもnpmjs.comをupstreamとして使っている場合における、VSTSのPATの無効化を案内しています。
Enabling administrators to revoke VSTS access tokens – Microsoft DevOps Blog
来週にも直近12か月以内にVSTSでnpmのパッケージマネージャを提供していたユーザーがいた場合、VSTSアカウント管理者当てにメールが来るので、GitHubにあるサンプルスクリプトを使って、2018-07-12 12:30(UTC)以前に作成された以下の権限を持つPATを作成したユーザーを列挙したファイルを用意して、PATを無効化してほしいそうです。
- vso.packaging
- vso.packaging_write
- vso.packaging_manage
例はGitHubに載ってますが、こんな感じ。なお、念のため、このスクリプトを使うときは専用の新しいPATを作ってから実行してください。
.\Revoke-VSTSPATsJWTs.ps1 -VSTSAccountName '{your_vsts_account}' -PAT '{your_new_pat}' [-UPNsFileLocation '{location_of_your_UPNs_file}']
UPNはユーザーのメールアドレスになります。 foo@exsample.com など。
TFS 2018にもnpmをupstreamとするパッケージ機能があります。こちらは当然、MSからの連絡はないので、TFSの管理者の方で、npmjs.comをupstreamとするパッケージを提供している場合、同様の手段をとってPATを無効化してください。
