kkamegawa's weblog

Visual Studio,TFS,ALM,VSTS,DevOps関係のことについていろいろと書いていきます。Google Analyticsで解析を行っています

eslint-scope (version 3.7.2) のクラックを受けてのVSTSでの対応について

知らなかったのですが、2018/7/12にnpmパッケージのeslint-scope (version 3.7.2) とeslint-config-eslint (version 5.0.2)がクラッキング受けたんだそうですね。

eslint.org

github.com

2018-07-12 12:30(UTC)以前に発行されたすべてのnpmアクセストークンが無効化されているそうです。

で、これを受けてVSTSでもnpmjs.comをupstreamとして使っている場合における、VSTSのPATの無効化を案内しています。

Enabling administrators to revoke VSTS access tokens – Microsoft DevOps Blog

来週にも直近12か月以内にVSTSでnpmのパッケージマネージャを提供していたユーザーがいた場合、VSTSアカウント管理者当てにメールが来るので、GitHubにあるサンプルスクリプトを使って、2018-07-12 12:30(UTC)以前に作成された以下の権限を持つPATを作成したユーザーを列挙したファイルを用意して、PATを無効化してほしいそうです。

  • vso.packaging
  • vso.packaging_write
  • vso.packaging_manage

例はGitHubに載ってますが、こんな感じ。なお、念のため、このスクリプトを使うときは専用の新しいPATを作ってから実行してください。

.\Revoke-VSTSPATsJWTs.ps1 -VSTSAccountName '{your_vsts_account}' -PAT '{your_new_pat}' [-UPNsFileLocation '{location_of_your_UPNs_file}']

UPNはユーザーのメールアドレスになります。 foo@exsample.com など。

TFS 2018にもnpmをupstreamとするパッケージ機能があります。こちらは当然、MSからの連絡はないので、TFSの管理者の方で、npmjs.comをupstreamとするパッケージを提供している場合、同様の手段をとってPATを無効化してください。