Данные проектов Travis CI попали в открытый доступ в промежутке между 3 и 10 сентября, сообщает Arstechnica.

Сбой в работе сервиса непрерывной интеграции программного обеспечения Travis CI поставил под угрозу данные тысяч проектов с открытым исходным кодом. По словам эксперта по безопасности Феликса Лэнга, уязвимость Travis CI привела к перехвату злоумышленниками таких переменных защищенной среды, как токены API, ключи для подписи и данные учетных записей.

Инцидент получил кодовое название CVE-2021-41077, разработчики определили, что утечка данных происходила в период с 3 по 10 сентября, и затрагивает сборки, созданные в этот промежуток времени.

Чтобы активировать проект с открытым исходным кодом, необходимо добавить в репозитории проекта файл .travis.yml, содержащий зашифрованные личные данные.

Еще одним источником утечки разработчики указывают на веб-интерфейс Travis CI, в котором также находятся защищенные данные.

«Зашифрованные переменные среды недоступны для извлечения запросов от форков из-за риска раскрытия такой информации неизвестному коду», ― гласит гайд по использованию Travis CI.

Как отмечает Лэнг, утечку обнаружили сравнительно оперативно ― разработчики сервиса узнали о проблеме 7 сентября ― и уже устранили уязвимость, однако пользователей Travis CI просят проявлять бдительность и создать новые ключи для проектов и токены API, а также обновить данные аккаунта.

Travis CI ― это бесплатная платформа непрерывной интеграции для любых проектов GitHub с открытым исходным кодом, поддерживающий множество языков программирования.

Источник: Habr

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Похожие записи: