DevOps平臺Travis CI漏洞暴露數千個開源專案敏感資料
持續整合供應商Travis CI存在一個嚴重的安全漏洞,該漏洞暴露了API金鑰、訪問令牌和憑據,這可能使使用公共原始碼儲存庫的組織面臨進一步攻擊的風險。目前,該漏洞已被修復。
該問題被追蹤為CVE-2021-41077,涉及在軟體構建過程中,未經授權訪問和竊取與公共開源專案相關的秘密環境資料。據悉,這一問題在9月3日至10日期間持續了8天。
關於 Travis CI
Travis CI是一種託管CI/CD(持續整合和持續部署)解決方案,用於構建和測試託管在 GitHub和Bitbucket等原始碼儲存庫系統上的軟體專案。
以太坊的Felix Lange
以太坊的Felix Lange在9月7日發現了洩漏,該公司的Péter Szilágyi指出“任何人都可以竊取這些資訊,並獲得橫向轉移到1000個組織。”
漏洞描述寫道,“預期目的(如果 .travis.yml 已由客戶在本地建立,並新增到 git)是讓Travis服務以一種防止公共訪問客戶特定的秘密環境資料(例如簽名金鑰)的方式執行構建,訪問憑據和 API令牌。,然而在規定的8天間隔期間,秘密資料可能會洩露給未授權的參與者,他們在構建過程中分叉公共儲存庫並列印檔案。”
換句話說,派生自另一個公共儲存庫的公共儲存庫可以提交一個pull請求,該請求可以獲得原始上游儲存庫中設定的秘密環境變數。Travis CI在其自己的文件中指出:“由於將此類資訊暴露給未知程式碼的安全風險,無法使用加密的環境變數從分叉中提取請求。”
它還承認了來自外部拉取請求的暴露風險:“從上游儲存庫分支傳送的拉取請求可能被操縱以暴露環境變數。上游儲存庫的維護者將無法抵禦這種攻擊,因為任何在GitHub上分叉儲存庫的人都可以傳送pull請求。”
Szilágyi敦促GitHub關注該公司的安全狀況和漏洞披露程式。
這家總部位於柏林的DevOps平臺公司9月13日釋出了一份簡短的“安全公告”,建議使用者定期更換金鑰,隨後在其社群論壇上釋出了第二份公告,宣告沒有發現任何證據表明該漏洞被惡意方利用。
儘管Travis CI在DevOps建設中起到很重要的作用,但其中存在安全漏洞也為開發團隊帶來很大的網路風險。當前,多數開發團隊離不開第三方程式碼庫或底層框架和一些軟體包管理工具,但這也意味著當某個環節出現問題時,很容易發生軟體供應鏈攻擊。因此,目前更提倡DevsecOps建設,從軟體需求構建開始將安全考慮進來,在編碼期間就關注安全問題,安全建設往往不再是安全團隊的主要工作。在開發期間使用 靜態程式碼檢測工具、SCA等篩查容易出現的程式碼缺陷和漏洞,從而提高軟體安全性,為網路安全防禦築牢基礎。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2792721/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Travis CI 漏洞致數千個開源專案機密洩露
- 開始使用Travis CI持續整合你的專案吧
- 全棧全平臺開源專案 CodeRiver 資料庫設計文件全棧資料庫
- 大型前端專案 DevOps 沉思錄 —— CI 篇前端dev
- kubernetes管理平臺開源專案調研
- 開源DevOps工具在平臺的未來dev
- 美國80多個城市的敏感資訊包括居民個人資料遭暴露
- Go Module 匯入到專案內且搭配 Travis CI 或 Drone 工具Go
- 開源推薦 - CoDo開源一站式DevOps平臺dev
- Travis CI 一些專用術語介紹
- 兩大開源平臺、九個捐贈專案,走進百度開源的2020
- 一款流行的會計APP暴露了敏感的個人和公司資料APP
- 如何在 Go 專案中隱藏敏感資訊,比如避免暴露使用者密碼?Go密碼
- 解放雙手,基於github travis-ci docker自動化部署java專案GithubDockerJava
- 開源 Amundsen:資料發現和後設資料平臺
- WordPress外掛Jetpack存在漏洞,暴露數百萬個站點Jetpack
- 我用這些開源專案輕鬆搭建了一個線上文件平臺
- Travis CI 配置檔案 .travis.yml 的語法介紹和一些用法舉例
- 資料分析專案精講!電商平臺人、貨、場分析實戰,附資料來源
- 每天數千個漏洞被公開 選什麼工具能讓漏洞追不上我?
- 基於 Github 平臺的 .NET 開源專案模板. 嘎嘎實用!Github
- 開源對映平臺Mapzen加入了Linux基金會的專案Linux
- Tracardi:開源客戶資料整合與分析平臺
- 手把手教你利用開源專案搭建一個屬於自已的電商平臺
- 有這個開源專案,你也可以打造自己的知識付費平臺了
- 微軟人工智慧部門意外暴露38TB敏感資料微軟人工智慧
- 資料安全隱患暴露,網際網路平臺擴張止步
- 360BugCloud開源漏洞響應平臺正式上線GCCloud
- 大資料入門指南(GitHub開源專案)大資料Github
- Android 解讀開源專案UniversalMusicPlayer(資料管理)Android
- 使用docker搭建gitlab以及ci平臺,完整版本(使用springboot專案演示)DockerGitlabSpring Boot
- 開源專案推薦:提高研發效率的5個開源專案
- [譯] 使用 Travis CI 自動釋出 npmNPM
- 宜信開源|漏洞管理平臺『洞察』的設計理念和平臺功能
- Gitlab CI 與 DevOpsGitlabdev
- CodeRiver 全棧全平臺開源專案:全面升級 從新出發全棧
- 開源專案推薦 - 巨鯨任務排程平臺(Spark、Flink)Spark
- 資料視覺化分析平臺開源方案集錦視覺化