solidot新版网站常见问题,请点击这里查看。

Travis CI 漏洞暴露数千开源项目的秘密

安全
WinterIsComing (31822)发表于 2021年09月15日 22时39分 星期三
来自部门
Travis CI 的一个漏洞可能导致数千开源项目的秘密如签名密钥、访问证书和 API 令牌漏出。Travis CI 是一个流行的软件测试工具,它提供了与源码托管平台如 GitHub 和 Bitbucket 的无缝整合,能直接克隆用户在 GitHub 中的代码库然后在虚拟环境中进行构建和测试。它被 90 万开源项目使用,有 60 万用户。研究员  Felix Lange 发现一个安全漏洞会导致 Travis CI 包含使用它测试的公开开源库的安全环境变量,环境变量含有通常敏感的信息如签名密钥、访问证书和 API 令牌。如果这些变量暴露,攻击者可借此进入组织的网络。编号为 CVE-2021-41077 的漏洞存在了大约 8 天,安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而 Travis CI 处理这个问题的做法引发了广泛批评,它的安全公告对此问题的严重性轻轻带过。