0

Travis CI 漏洞暴露数千开源项目的秘密

 1 year ago
source link: https://www.solidot.org/story?sid=68948
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

Travis CI 漏洞暴露数千开源项目的秘密

WinterIsComing (31822)发表于 2021年09月15日 22时39分 星期三 新浪微博分享 豆瓣分享 来自部门
Travis CI 的一个漏洞可能导致数千开源项目的秘密如签名密钥、访问证书和 API 令牌漏出。Travis CI 是一个流行的软件测试工具,它提供了与源码托管平台如 GitHub 和 Bitbucket 的无缝整合,能直接克隆用户在 GitHub 中的代码库然后在虚拟环境中进行构建和测试。它被 90 万开源项目使用,有 60 万用户。研究员  Felix Lange 发现一个安全漏洞会导致 Travis CI 包含使用它测试的公开开源库的安全环境变量,环境变量含有通常敏感的信息如签名密钥、访问证书和 API 令牌。如果这些变量暴露,攻击者可借此进入组织的网络。编号为 CVE-2021-41077 的漏洞存在了大约 8 天,安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而 Travis CI 处理这个问题的做法引发了广泛批评,它的安全公告对此问题的严重性轻轻带过。

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK