Pull to refresh

Обнаружена утечка данных Travis CI в период с 3 по 10 сентября

Information Security *Website development *Open data *GitHub Data storage *

Данные проектов Travis CI попали в открытый доступ в промежутке между 3 и 10 сентября, сообщает Arstechnica.

Сбой в работе сервиса непрерывной интеграции программного обеспечения Travis CI поставил под угрозу данные тысяч проектов с открытым исходным кодом. По словам эксперта по безопасности Феликса Лэнга, уязвимость Travis CI привела к перехвату злоумышленниками таких переменных защищенной среды, как токены API, ключи для подписи и данные учетных записей. 

Инцидент получил кодовое название CVE-2021-41077, разработчики определили, что утечка данных происходила в период с 3 по 10 сентября, и затрагивает сборки, созданные в этот промежуток времени.

Чтобы активировать проект с открытым исходным кодом, необходимо добавить в репозитории проекта файл .travis.yml, содержащий зашифрованные личные данные.

Еще одним источником утечки разработчики указывают на веб-интерфейс Travis CI, в котором также находятся защищенные данные.

«Зашифрованные переменные среды недоступны для извлечения запросов от форков из-за риска раскрытия такой информации неизвестному коду», ― гласит гайд по использованию Travis CI.

Как отмечает Лэнг, утечку обнаружили сравнительно оперативно ― разработчики сервиса узнали о проблеме 7 сентября ― и уже устранили уязвимость, однако пользователей Travis CI просят проявлять бдительность и создать новые ключи для проектов и токены API, а также обновить данные аккаунта.

Travis CI ― это бесплатная платформа непрерывной интеграции для любых проектов GitHub с открытым исходным кодом, поддерживающий множество языков программирования.

Tags:
Hubs:
Total votes 11: ↑10 and ↓1 +9
Views 560
Comments Comments 1