Herokuから受け取った環境変数を標準入力として渡すshスクリプトでは、exec env -i で環境変数を消して、shプロセスをdenoプロセスへ置き換える形にしてる。 exec env -i PATH=${PATH} DENO_TLS_CA_STORE=system deno run ... (edited)

2:21 AM

これで procfs を経由したトークン取得の(知りうる範囲での)穴を塞げた。 (edited)

2:26 AM

ここまで書けば、以前のきしかわさんのボットのハックとは関係無いだろう、という予想もより納得してもらえるかと。 (edited)