Travis CI 漏洞暴露数千开源项目的秘密

2 years ago

source link: https://www.solidot.org/story?sid=68948
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

WinterIsComing (31822)发表于 2021年09月15日 22时39分星期三新浪微博分享豆瓣分享 来自部门

Travis CI 的一个漏洞可能导致数千开源项目的秘密如签名密钥、访问证书和 API 令牌漏出。Travis CI 是一个流行的软件测试工具，它提供了与源码托管平台如 GitHub 和 Bitbucket 的无缝整合，能直接克隆用户在 GitHub 中的代码库然后在虚拟环境中进行构建和测试。它被 90 万开源项目使用，有 60 万用户。研究员 Felix Lange 发现一个安全漏洞会导致 Travis CI 包含使用它测试的公开开源库的安全环境变量，环境变量含有通常敏感的信息如签名密钥、访问证书和 API 令牌。如果这些变量暴露，攻击者可借此进入组织的网络。编号为 CVE-2021-41077 的漏洞存在了大约 8 天，安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而 Travis CI 处理这个问题的做法引发了广泛批评，它的安全公告对此问题的严重性轻轻带过。

Recommend

Travis CI 漏洞暴露数千开源项目的秘密

Travis CI 漏洞暴露数千开源项目的秘密

Recommend

米其林无气乘用车轮胎首度公开亮相

给自己点时间再记记这200条Git命令

最新分析发现文兰岛地图系伪造

网络代理 Envoy 开源五周年，创始人 Matt Klein 亲述开源心路历程及经验教训 | 云原生...

埃博拉疫苗在临床试验中对儿童及成人产生强免疫反应

Best silicone rings for men and women 2021

为你的网站加入这些可爱的看板娘吧

LeetCode-268-丢失的数字

深入广泛宣传强化安全意识

美团和饿了么禁止强迫骑手注册成个体工商户

About Joyk