DevOps平臺Travis CI漏洞暴露數千個開源專案敏感資料

持續整合供應商Travis CI存在一個嚴重的安全漏洞，該漏洞暴露了API金鑰、訪問令牌和憑據，這可能使使用公共原始碼儲存庫的組織面臨進一步攻擊的風險。目前，該漏洞已被修復。

該問題被追蹤為CVE-2021-41077，涉及在軟體構建過程中，未經授權訪問和竊取與公共開源專案相關的秘密環境資料。據悉，這一問題在9月3日至10日期間持續了8天。

關於 Travis CI

Travis CI是一種託管CI/CD(持續整合和持續部署)解決方案，用於構建和測試託管在 GitHub和Bitbucket等原始碼儲存庫系統上的軟體專案。

以太坊的Felix Lange

以太坊的Felix Lange在9月7日發現了洩漏，該公司的Péter Szilágyi指出“任何人都可以竊取這些資訊，並獲得橫向轉移到1000個組織。”

漏洞描述寫道，“預期目的(如果 .travis.yml 已由客戶在本地建立，並新增到 git)是讓Travis服務以一種防止公共訪問客戶特定的秘密環境資料(例如簽名金鑰)的方式執行構建，訪問憑據和 API令牌。，然而在規定的8天間隔期間，秘密資料可能會洩露給未授權的參與者，他們在構建過程中分叉公共儲存庫並列印檔案。”

換句話說，派生自另一個公共儲存庫的公共儲存庫可以提交一個pull請求，該請求可以獲得原始上游儲存庫中設定的秘密環境變數。Travis CI在其自己的文件中指出:“由於將此類資訊暴露給未知程式碼的安全風險，無法使用加密的環境變數從分叉中提取請求。”

它還承認了來自外部拉取請求的暴露風險:“從上游儲存庫分支傳送的拉取請求可能被操縱以暴露環境變數。上游儲存庫的維護者將無法抵禦這種攻擊，因為任何在GitHub上分叉儲存庫的人都可以傳送pull請求。”

Szilágyi敦促GitHub關注該公司的安全狀況和漏洞披露程式。

這家總部位於柏林的DevOps平臺公司9月13日釋出了一份簡短的“安全公告”，建議使用者定期更換金鑰，隨後在其社群論壇上釋出了第二份公告，宣告沒有發現任何證據表明該漏洞被惡意方利用。

儘管Travis CI在DevOps建設中起到很重要的作用，但其中存在安全漏洞也為開發團隊帶來很大的網路風險。當前，多數開發團隊離不開第三方程式碼庫或底層框架和一些軟體包管理工具，但這也意味著當某個環節出現問題時，很容易發生軟體供應鏈攻擊。因此，目前更提倡DevsecOps建設，從軟體需求構建開始將安全考慮進來，在編碼期間就關注安全問題，安全建設往往不再是安全團隊的主要工作。在開發期間使用 靜態程式碼檢測工具、SCA等篩查容易出現的程式碼缺陷和漏洞，從而提高軟體安全性，為網路安全防禦築牢基礎。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!