沙虫科技网logo.png3D科技网

3D科技网
提供IT业界的新鲜事、奇趣事和热门焦点,掌控最热最新的互联网新闻、科技新闻和IT业界动态。
3D科技网

CI构建日志继续暴露公司机密

在问题成为常识后的几年内,安全研究人员仍然发现隐藏在持续集成服务深处的秘密。

持续集成(CI)是一种编码方法,需要程序员以不同的时间间隔将其开发代码集成回主应用程序。此代码被编译/构建回生产系统的副本,并使用自动化系统对代码进行错误测试。

CI的目的是在编码过程中尽早发现错误,并在它们深深嵌入到项目的其余部分之前检测它们,此时可能需要进行大量的重写。

所有CI服务中最着名和最广泛使用的是名为Travis CI的服务,主要由于其GitHub集成而受到欢迎,但其他也存在,例如Circle CI和GitLab CI。

就像任何Web应用程序一样,Travis CI会记录发生的所有事情,其中​​最重要的一个是项目的构建日志,其中Travis CI获取in-dev代码并将其集成到主代码库中的一个名为一个“构建”。

在构建过程中,需要与各种远程服务器和API进行交互,并且可以使用密码,SSH密钥或API令​​牌 - 并且固有地保留在Travis CI日志中。

一个老问题,又是新问题

几年前,安全研究人员意识到他们可以将Travis CI日志与API密钥和其他秘密进行梳理,并将这些问题报告给公司以获得错误赏金。

除了意志坚定的安全研究人员之外,威胁行为者也意识到他们也可以这样做,其中一些人甚至发起了对Travis CI的攻击,以批量搜索构建日志并提取其中的一些秘密。

Travis CI团队从这些攻击中吸取了教训,并从此改变了其过程。在过去几年中,Travis CI服务一直在运行各种自动脚本,这些脚本检测看起来像密码或API令​​牌的模式,并在构建日志中用“[secure]”替换它们。

但是三年后,一个由七个bug赏金猎人组成的团队发现,尽管Travis CI,Circle CI和GitLab CI等多项CI服务做出了最大努力和各种对策,但一些构建日志仍然包含秘密。

研究人员使用特制工具扫描过去几个月的CI构建日志,以发现新的敏感数据泄漏。

他们在Grammarly,Discourse,一个公共加密货币计划以及他们不想透露姓名的组织中发现了漏洞。

“总的来说,最有影响力的发现主要是GitHub访问令牌泄漏,”研究人员说。他们现在敦促公司审查任何敏感令牌的CI构建日志,这些令牌可能会通过Travis CI的基本模式过滤程序。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关推荐