Travis CI 漏洞暴露了敏感的開源項目憑證

Travis CI 持續集成工具中的一個缺陷暴露了來自數千個在線開源項目的敏感數據。這並不是該軟體第一次遇到此類安全問題。

Travis CI 是一個持續集成工具，它幫助軟體開發者實現自動化地測試新代碼，並將新代碼集成到開源項目中。Aqua 研究人員發現，通過該軟體的一個 API，可以訪問來自 Travis CI 免費用戶的多達 7.7 億條「日誌」（即使用戶的賬號已經刪除）。

攻擊者可以從這些明文存儲的日誌中，提取出用於登錄 GitHub、Docker Hub 和 AWS 等雲服務的用戶身份驗證令牌。研究人員在 800 萬份日誌樣本中，發現了 70000 多個敏感令牌和其他機密憑證。Aqua 團隊認為「所有 Travis CI 免費用戶都有可能暴露」。根據 2019 年的數據，Travis CI 被超過 60 萬名獨立用戶，用於超過 932977 個開源項目。

這種對高級用戶憑證的訪問，會給使用該產品的軟體開發者及其客戶帶來風險。趨勢科技英國和愛爾蘭安全技術總監 Bharat Mistry 解釋道：「如果攻擊者獲得了這些憑據，就沒有什麼能阻止他們將惡意代碼引入庫或構建過程。這個缺陷無疑會導致數字供應鏈攻擊。」

供應鏈攻擊可能極具破壞性。2020 年的 太陽風 Solar Winds 攻擊，使國家資助的俄羅斯黑客能夠訪問數千家企業和政府組織的系統。2021 年的 Kaseya 供應鏈攻擊，使犯罪分子可以同時加密 1500 多家公司的數據，將它們全部扣為人質。

via: https://www.opensourceforu.com/2022/06/the-travis-ci-vulnerability-exposes-sensitive-open-source-project-credentials/

作者：Laveesh Kocher 選題：lkxed 譯者：lkxed 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive