Travis CI 漏洞致数千个开源项目机密泄露

最新推荐文章于 2024-07-25 11:55:14 发布
最新推荐文章于 2024-07-25 11:55:14 发布
阅读量162 收藏
点赞数
分类专栏: 技术干货 文章标签: ci
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linux_hua130/article/details/121200501
版权
近日,研究人员 Felix Lange 爆出 Travis CI 存在严重安全漏洞,所有公共开源存储库的安全环境变量(签名秘钥、访问凭据和所有公共开源项目的 API tokens 等)都包含到 pull request 构建中,如果这些环境变量被窃取,那么这一漏洞将导致数千个开源项目的核心被泄露。

Travis CI 是一个开源的持续集成构建项目,别具一格地采用了 yaml 格式,累计为超过 90 万个开源项目和 60 万用户提供服务。因为它能与 GitHub 和 Bitbucket 无缝集成,所以目前大多数的 GitHub 项目都已移入到 Travis CI 的构建队列中。

Travis CI 漏洞致数千个开源项目机密泄露Travis CI 漏洞致数千个开源项目机密泄露

如下图所言,当用户在运行构建时,Travis CI 会将 GitHub 存储库克隆到一个全新的虚拟环境中,并执行一系列的任务来构建和测试代码。如果其中一个或多个任务失败,则意味着构建中断,如果任务全部成功,则意味着构建通过,Travis CI 可以将用户的代码部署到 web 服务器或应用程序主机上。

最低0.47元/天 解锁文章
Linux_华仔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详细分析PHP源代码后门事件及其供应链安全启示
smellycat000的专栏
03-30 2006
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
Travis CI API 漏洞未修复,可暴露用户机密访问令牌引发供应链攻击
smellycat000的专栏
06-15 161
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的...
偶然在github开源项目中发现了.travis.yml这货
AlbertS Home of Technology
07-03 6777
偶然在一个github开源项目中发现了.travis.yml这货,然后一发不可收拾,翻了翻之前看的几个开源库都有这个文件,并且最近经常看到它,这被称为“巴德尔-迈因霍夫现象”,是一种认知偏见,即在第一次注意到某一事物后,有一种更频繁地注意到它的倾向,导致某人相信它有很高的频率,既然这样索性就深入研究了一下这个文件,发现它原来是用于持续集成的...............
社区公愤!Travis CI 漏洞数千个开源项目机密泄露
开源吞噬世界。
09-17 9678
近日,研究人员 Felix Lange 爆出 Travis CI 存在严重安全漏洞,所有公共开源存储库的安全环境变量(签名秘钥、访问凭据和所有公共开源项目的API tokens 等)都包含到 pull request 构建中,如果这些环境变量被窃取,那么这一漏洞将导致数千个开源项目的核心被泄露Travis CI 是一个开源的持续集成构建项目,别具一格地采用了 yaml 格式,累计为超过 90 万个开源项目和 60 万用户提供服务。因为它能与 GitHub和 Bitbucket无缝集成,所以目前大多..
配置文件—— .travis.yml
weixin_30932215的博客
07-09 1549
.travis.yml 介绍 https://docs.travis-ci.com/user/getting-started/ 用途 yaml语法的写出来的配置文件,用来描述如何持续构建,支持各种语言,各种系统环境; The Build Lifecycle 地址: The Build Lifecycle 转载于:https://www.cnblogs.com/qiqi715/p/9286305...
github-travis-bumpversion-pypi:四个步骤
05-22
本文档说明了如何为小型开源python项目执行CI。 四个步骤: github提交 特拉维斯CI 颠簸 上载到pypi 第一步由您完成,接下来的步骤将自动进行:-) 条款: Keepass:这是我存储机密的工具。 当然可以使用任何...
Python库 | travis_encrypt-1.3.0-py3-none-any.whl
02-20
Travis CI是一个开源项目和私有项目的自动化构建和测试平台,它允许开发者在代码提交时自动运行测试和部署任务。通过在`.travis.yml`文件中配置Travis CI,开发者可以定义构建环境、安装依赖项、运行测试以及在成功...
GitLab的使用:自建 Git 仓库与 CI_CD
GitLab 是一个用于版本控制、代码审查、问题跟踪和 CI/CD 的开源平台。相比于其他版本控制系统,GitLab 提供了更多额外功能,如集成了持续集成、持续部署、代码审查等功能,使得开发团队可以更高效地协作和交付软件...
github-pages-demo
03-05
虽然GitHub Pages本身不提供CI服务,但可以通过Jekyll插件或第三方服务(如Travis CICircleCI)实现自动化构建和部署,确保每次代码更新后页面都能正确生成和更新。 8. **SEO和元数据** 要使GitHub Pages在搜索...
.travis.yml
热门推荐
不忘初心,方得始终
12-26 1万+
介绍:https://docs.travis-ci.com/user/getting-started/ 用途:yaml语法的写出来的配置文件,用来描述如何持续构建,支持各种语言,各种系统环境;概念介绍:语法结构:
常见信息泄露漏洞风险与解决方案
晓川吖的专栏
09-09 8699
1.概述 信息泄露漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息泄露,甚至会导致服务器被入侵。 漏洞类型统计: 2.安全事件 2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录
安卓Trustzone有巨大漏洞?降级攻击为你做出解析!
Baidu_Secrity的博客
09-18 570
摘要如今人们经常在手机上进行账号登录、金钱交易等安全敏感的操作。为了保护这些操作,手机需要能把可信和不可信的程序有效隔离开来。于是,手机厂商通过ARM TrustZone硬件隔离技术实...
物理机 gogs+jenkins+sonarqube 实现CI/CD
Richardlygo的博客
07-25 2135
其中ref就是推送过去的分支啦。以下的推送的内容都是可以通过文章后面设置jenkins变量来获得的。历史版本下载地址:  http://www.oracle.com/technetwork/java/javase/archive-139210.html。当前最新版本下载地址:http://www.oracle.com/technetwork/java/javase/downloads/index.html。上述方法之所以安装不成功,主要是golang版本和golangci-lint版本不一致导致导致的;
本地小说阅读器可执行文件新版
08-29
导入小说,需通过文件-转换,选择txt小说,生成同名小说文件夹; 之后通过文件-小说,选择小说文件夹,就完成小说导入了。 txt小说只需转换一次。
452、基于单片机的智能水杯系统设计(原理图、源代码)
08-29
452、基于单片机的智能水杯系统设计(原理图、源代码) 该系统为单片机的智能水杯系统,实现水质、水温检测,智能控温等设计; 功能: 1、使用51单片机为核心设计; 2、水质TDS值检测,检测水质情况; 3、水温检测; 4、温度和TDS值显示在LCD1602上; 5、按键实现水温阈值控制; 6、加热模块和制冷模块控制,控制水温; 7、声光告警电路,实现温度到达提醒; 8、提供原理图和源代码;
d3dcsxd_46.dll
08-29
Windows 8 SDK 此 SDK 于 2012 年 11 月发布,可用于创建适用于 Windows 8 或更早版本的 Windows 应用 () 使用 Web 技术、本机和托管代码;或使用本机或托管编程模型的桌面应用。
c语言做的一个任务管理器.zip
08-29
c语言入门,c语言做的一个任务管理器,包含全量功能源码,及相关文档说明,供大家学习使用!
Spring Cloud与Seata 2.0集成:零基础安装到AT模式实战的完整教程.zip
最新发布
08-29
Spring Cloud与Seata 2.0的集成是一个涉及微服务架构和分布式事务管理的复杂过程。本教程将从零基础开始,指导你如何安装并配置Spring Cloud环境,以及如何集成Seata 2.0的AT模式。首先,你需要准备相应的开发环境,包括操作系统、Java、Maven和Git等工具。接着,通过Spring Initializr创建Spring Cloud项目,并添加所需的微服务组件依赖。然后,下载并配置Seata Server,同时设置Nacos或Eureka作为注册中心。在Spring Cloud应用中引入Seata AT依赖,并配置事务管理器和协调器。通过编写测试用例来模拟分布式事务场景,并验证事务的一致性和原子性。教程还将涵盖问题排查、性能优化、部署上线、以及使用Seata Dashboard进行监控和告警配置。最后,教程会总结关键步骤,展望Spring Cloud和Seata的未来发展趋势,帮助你构建一个健壮的分布式系统。
Jenkins与CI工具选型深度解析
例如,Travis CICircleCI开源项目中很受欢迎,而GitLab CI/CD则因为与GitLab集成紧密,提供了一站式解决方案。AWS CodePipeline则适用于深度集成AWS服务的项目。 在选择合适的CI工具时,应根据团队的技术栈、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值