持续集成供应商Travis CI存在一个严重的安全漏洞,该漏洞暴露了API密钥、访问令牌和凭据,这可能使使用公共源代码存储库的组织面临进一步攻击的风险。目前,该漏洞已被修复。
该问题被追踪为CVE-2021-41077,涉及在软件构建过程中,未经授权访问和窃取与公共开源项目相关的秘密环境数据。据悉,这一问题在9月3日至10日期间持续了8天。
关于 Travis CI
Travis CI是一种托管CI/CD(持续集成和持续部署)解决方案,用于构建和测试托管在 GitHub和Bitbucket等源代码存储库系统上的软件项目。
以太坊的Felix Lange
以太坊的Felix Lange在9月7日发现了泄漏,该公司的Péter Szilágyi指出“任何人都可以窃取这些信息,并获得横向转移到1000个组织。”
漏洞描述写道,“预期目的(如果 .travis.yml 已由客户在本地创建,并添加到 git)是让Travis服务以一种防止公共访问客户特定的秘密环境数据(例如签名密钥)的方式执行构建,访问凭据和 API令牌。,然而在规定的8天间隔期间,秘密数据可能会泄露给未授权的参与者,他们在构建过程中分叉公共存储库并打印文件。”
换句话说,派生自另一个公共存储库的公共存储库可以提交一个pull请求,该请求可以获得原始上游存储库中设置的秘密环境变量。Travis CI在其自己的文档中指出:“由于将此类信息暴露给未知代码的安全风险,无法使用加密的环境变量从分叉中提取请求。”
它还承认了来自外部拉取请求的暴露风险:“从上游存储库分支发送的拉取请求可能被操纵以暴露环境变量。上游存储库的维护者将无法抵御这种攻击,因为任何在GitHub上分叉存储库的人都可以发送pull请求。”
Szilágyi敦促GitHub关注该公司的安全状况和漏洞披露程序。
这家总部位于柏林的DevOps平台公司9月13日发布了一份简短的“安全公告”,建议用户定期更换密钥,随后在其社区论坛上发布了第二份公告,声明没有发现任何证据表明该漏洞被恶意方利用。
尽管Travis CI在DevOps建设中起到很重要的作用,但其中存在安全漏洞也为开发团队带来很大的网络风险。当前,多数开发团队离不开第三方代码库或底层框架和一些软件包管理工具,但这也意味着当某个环节出现问题时,很容易发生软件供应链攻击。因此,目前更提倡DevsecOps建设,从软件需求构建开始将安全考虑进来,在编码期间就关注安全问题,安全建设往往不再是安全团队的主要工作。在开发期间使用静态代码检测工具、SCA等筛查容易出现的代码缺陷和漏洞,从而提高软件安全性,为网络安全防御筑牢基础。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
