TravisCI漏洞泄露数千个开源项目的秘密APItoken等)被包含在pullrequest构建中,如果这些环境变量被窃取,那么这个漏洞将导致数千个开源项目的核心被泄露。TravisCI是一个开源的持续集成构建项目,唯一采用yaml格式,已经为超过90万个开源项目和60万用户提供服务。由于它与GitHub和Bitbucket的无缝集成,现在大多数GitHub项目都移到了TravisCI构建队列中。TravisCI漏洞泄露了数千个开源项目的秘密TravisCI漏洞泄露了数千个开源项目的秘密并执行一系列任务来构建和测试代码。如果其中一项或多项任务失败,则意味着构建失败,如果全部成功,则构建通过,TravisCI可以将用户的代码部署到Web服务器或应用程序主机。TravisCI漏洞泄露数千个开源项目的秘密TravisCI漏洞泄露数千个开源项目的秘密在此之前,TravisCI的文档不断告诉用户:“加密的环境变量不能从fork中拉取请求,因为存在暴露的安全风险此类信息为未知代码”。但是,此漏洞(CVE-2021-41077)存在于TravisCI的激活过程中,严重影响了9月3日至10日之间创建的某些构建。www.pcpop.com/doc/4/4491/4491047.shtmlwww.donews.com/news/detail/4/2963876.html在TravisCI激活期间,开发者应该在开源中添加一个“.travis.yml”文件项目存储库,这个文件会告诉TravisCI做什么,不做什么,甚至可能包含机密内容。加密核心的另一件事是“Travis'webUI”。理想情况下,Travis应该阻止公众访问任何秘密环境变量,根据以太坊加密货币项目负责人PéterSzilágyi的说法,“安全环境变量在Travis的WebUI上配置(Travis独家拥有),然后将这些变量添加到环境中构建运行的地方,但只针对可信代码,即合并代码。外部代码(PR)不应插入环境变量,因为维护者无法控制外部人员提交的代码,但Travis将密钥注入到不受信任的构建中”。bug出现8天后,Lange将问题带回了Travis的公司,并建议所有依赖TravisCI的项目更换其核心“秘密”。TravisCI的MontanaMendy在安全公告中表示,“根据最近的报道,从另一个存储库分叉出来的公共存储库可以提交拉取请求(例如在GitHub、BitBucket、Assembla中),并在构建过程中打印一些文档,即使是未经授权的访问到原始公共存储库,在这种情况下,项目的核心在TravisCI数据库中保持加密状态。”9月10日,TravisCI默默修补了该漏洞。9月13日,TravisCI发布了一个简短的安全公告,如下图所示。TravisCI漏洞泄露了数千个开源项目的秘密TravisCI漏洞泄露了数千个开源项目的秘密在这个公告中,没有对漏洞的分析,没有安全报告,也没有警告用户他们的机密内容可能已被泄露妥协被盗。这种“草率”的态度引起了社区的不满,Szilágyi与社区的几名成员一起抨击了这一公告,网络开发人员JakeJarvis称其为“令人尴尬的‘安全公告’”。但TravisCI认为,“我们已经完成了一系列安全补丁来解决这件事,更新机密内容是所有用户都应该执行的操作”。TravisCI之所以在社区引起公愤,是因为它没有公开透明地披露漏洞细节,理所当然地把部分责任推给了项目的开发者,“敷衍”性极强安全公告使本已岌岌可危的关系雪上加霜。不过,也有人认为,特拉维斯虽然处理事情不力,但好在他完成了一系列安全补丁,将损失降到最低,因此不算是大错。最后,你支持哪一方的观点,欢迎在下方投票。
