Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Сборки Travis CI раскрывают токены доступа

29/05/19

hack20-2Несколько лет назад исследователи в области безопасности выявили проблему, связанную с одним из самых популярных сервисов непрерывной интеграции Travis CI. Выяснилось, что в логах сборок Travis CI можно найти ключи API, пароли, SSH ключи и прочую важную информацию. Тогда команда разработчиков сервиса приняла соответствующие меры, однако их оказалось недостаточно.

Как и всякое web-приложение, Travis CI хранит логи всех событий, в том числе данные о взаимодействии с различными серверами, API, пароли, SSH ключи и пр.

Согласно результатам нового исследования, проведенного группой ИБ-экспертов, несмотря на реализованную защиту от утечек, логи некоторых сборок Travis CI по-прежнему раскрывают информацию. С помощью разработанных ими инструментов, специалисты в течение нескольких месяцев проводили сканирование логов сборок и обнаружили, что некоторые из них раскрывают важные данные. В частности, они нашли утечки (в основном токены доступа к GitHub) в сборках, принадлежащих компаниям Grammarly и Discourse, а также еще одной фирме, название которой не стали раскрывать.

По словам исследователей, злоумышленники могут не только получить доступ к данной информации, но и выяснить название «мертвых» пакетов, которые все еще используются в активных проектах, а затем перерегистрировать их и использовать в качестве бэкдоров.

Travis CI - распределенный web-сервис для сборки и тестирования программного обеспечения, использующий GitHub в качестве хостинга исходного кода. Cервис поддерживает сборку проектов на множестве языков, включая C, C++, D, JavaScript, Java, PHP, Python и Ruby. Разные проекты с открытым исходным кодом используют Travis CI для непрерывной интеграции кода, например, Ruby, Ruby on Rails, Node.js.

Темы:УгрозыTravis CI
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...