Как стать автором
Обновить

Обнаружена утечка данных Travis CI в период с 3 по 10 сентября

Время на прочтение 1 мин
Количество просмотров 889

Данные проектов Travis CI попали в открытый доступ в промежутке между 3 и 10 сентября, сообщает Arstechnica.

Сбой в работе сервиса непрерывной интеграции программного обеспечения Travis CI поставил под угрозу данные тысяч проектов с открытым исходным кодом. По словам эксперта по безопасности Феликса Лэнга, уязвимость Travis CI привела к перехвату злоумышленниками таких переменных защищенной среды, как токены API, ключи для подписи и данные учетных записей. 

Инцидент получил кодовое название CVE-2021-41077, разработчики определили, что утечка данных происходила в период с 3 по 10 сентября, и затрагивает сборки, созданные в этот промежуток времени.

Чтобы активировать проект с открытым исходным кодом, необходимо добавить в репозитории проекта файл .travis.yml, содержащий зашифрованные личные данные.

Еще одним источником утечки разработчики указывают на веб-интерфейс Travis CI, в котором также находятся защищенные данные.

«Зашифрованные переменные среды недоступны для извлечения запросов от форков из-за риска раскрытия такой информации неизвестному коду», ― гласит гайд по использованию Travis CI.

Как отмечает Лэнг, утечку обнаружили сравнительно оперативно ― разработчики сервиса узнали о проблеме 7 сентября ― и уже устранили уязвимость, однако пользователей Travis CI просят проявлять бдительность и создать новые ключи для проектов и токены API, а также обновить данные аккаунта.

Travis CI ― это бесплатная платформа непрерывной интеграции для любых проектов GitHub с открытым исходным кодом, поддерживающий множество языков программирования.

Теги:
Хабы:
+9
Комментарии 1
Комментарии Комментарии 1

Другие новости

Истории

Работа

Ближайшие события

PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн
Weekend Offer в AliExpress
Дата 20 – 21 апреля
Время 10:00 – 20:00
Место
Онлайн