Данные проектов Travis CI попали в открытый доступ в промежутке между 3 и 10 сентября, сообщает Arstechnica.
Сбой в работе сервиса непрерывной интеграции программного обеспечения Travis CI поставил под угрозу данные тысяч проектов с открытым исходным кодом. По словам эксперта по безопасности Феликса Лэнга, уязвимость Travis CI привела к перехвату злоумышленниками таких переменных защищенной среды, как токены API, ключи для подписи и данные учетных записей.
Инцидент получил кодовое название CVE-2021-41077, разработчики определили, что утечка данных происходила в период с 3 по 10 сентября, и затрагивает сборки, созданные в этот промежуток времени.
Чтобы активировать проект с открытым исходным кодом, необходимо добавить в репозитории проекта файл .travis.yml, содержащий зашифрованные личные данные.
Еще одним источником утечки разработчики указывают на веб-интерфейс Travis CI, в котором также находятся защищенные данные.
«Зашифрованные переменные среды недоступны для извлечения запросов от форков из-за риска раскрытия такой информации неизвестному коду», ― гласит гайд по использованию Travis CI.
Как отмечает Лэнг, утечку обнаружили сравнительно оперативно ― разработчики сервиса узнали о проблеме 7 сентября ― и уже устранили уязвимость, однако пользователей Travis CI просят проявлять бдительность и создать новые ключи для проектов и токены API, а также обновить данные аккаунта.
Travis CI ― это бесплатная платформа непрерывной интеграции для любых проектов GitHub с открытым исходным кодом, поддерживающий множество языков программирования.
