Linux中國
Travis CI 漏洞暴露了敏感的開源項目憑證
Travis CI 持續集成工具中的一個缺陷暴露了來自數千個在線開源項目的敏感數據。這並不是該軟體第一次遇到此類安全問題。
Travis CI 是一個持續集成工具,它幫助軟體開發者實現自動化地測試新代碼,並將新代碼集成到開源項目中。Aqua 研究人員發現,通過該軟體的一個 API,可以訪問來自 Travis CI 免費用戶的多達 7.7 億條「日誌」(即使用戶的賬號已經刪除)。
攻擊者可以從這些明文存儲的日誌中,提取出用於登錄 GitHub、Docker Hub 和 AWS 等雲服務的用戶身份驗證令牌。研究人員在 800 萬份日誌樣本中,發現了 70000 多個敏感令牌和其他機密憑證。Aqua 團隊認為「所有 Travis CI 免費用戶都有可能暴露」。根據 2019 年的數據,Travis CI 被超過 60 萬名獨立用戶,用於超過 932977 個開源項目。
這種對高級用戶憑證的訪問,會給使用該產品的軟體開發者及其客戶帶來風險。趨勢科技英國和愛爾蘭安全技術總監 Bharat Mistry 解釋道:「如果攻擊者獲得了這些憑據,就沒有什麼能阻止他們將惡意代碼引入庫或構建過程。這個缺陷無疑會導致數字供應鏈攻擊。」
供應鏈攻擊可能極具破壞性。2020 年的 太陽風 攻擊,使國家資助的俄羅斯黑客能夠訪問數千家企業和政府組織的系統。2021 年的 Kaseya 供應鏈攻擊,使犯罪分子可以同時加密 1500 多家公司的數據,將它們全部扣為人質。
作者:Laveesh Kocher 選題:lkxed 譯者:lkxed 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何通過 VLC 使用字幕
使用 VLC 媒體播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 問世之前
僅僅開源還不足以實現開放,還需開放標準和建立共識。
Valve 對於 Ubuntu 的 Snap 版本的 Steam 並不滿意:原因何在
你可能會發現,Snap 版本的 Steam 並不如你期待的那樣好,你怎麼看?
Wine 9.0 發布,實驗性地加入了 Wayland 驅動
Wine 的這個新版本正在為未來做好準備!