持续集成商 Travis CI 爆严重漏洞，数千开源项目机密或被盗-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

持续集成供应商 Travis CI 修复了一个严重漏洞，可暴露 API 密钥、访问令牌和凭据，可导致使用公开源代码仓库的组织机构面临攻击风险。

该漏洞的编号为 CVE-2021-41077，和越权访问权限以及软件构建过程中公开开源项目相关的秘密环境数据有关。据称该问题从9月3日到9月10日一直存在，持续了8天的时间窗口。

以太坊的研究员 Felix Lange 在9月7日发现该泄露情况。该公司的研究员Péter Szilágyi 指出，“任何人均可提取这些数据并在数千个组织机构中横向移动。”

Travis CI 提供托管式CI/CD解决方案，用于构建和测试托管在源代码仓库系统如 GitHub 和 Bitbucket 上的软件项目。

漏洞说明指出，“这种行为（由客户本地创建 .travis.yml 并添加到 git）供 Travis 服务器执行构建，阻止公开访问针对客户的秘密环境数据如签名密钥、访问凭据和 API 令牌。然而，在这8太难的时间里，越权行动者可暴露机密数据，使其在构建过程中分叉公开仓库并打印文件。”换句话说，从另外仓库分叉的公开仓库可提交 pull 请求，从而获得在原始上游仓库中设置的秘密环境变量。Travis CI 公司在文档中指出，“由于将此类信息暴露给未知代码可带来安全风险，因此加密的环境变量无法从分叉pull请求。“

文档中还证实了源自外部请求的泄露风险，“从上游仓库分叉发送的 pull 请求可被操控，暴露环境变量。上游仓库的维护人员无法防御这种攻击，因为任何人只要分叉了 GitHub 上的仓库，即可发送 pull 请求。“

被指对漏洞的严重性评估失实

Szilágyi 还称，Travis CI 降低了对该事件的重要性评估，未能承认问题的“严重性“，他督促 GitHub 因这种糟糕的安全态势和漏洞披露流程而封禁该公司，“迫于多个项目三天的压力，Travis CI 在9月10日悄悄修复了该漏洞。该公司没有提供任何分析、安全报告、事后说明，也没有提醒任何用户秘密可能已被盗。”

Travis CI 公司在9月14日发布简短的“安全通告”，建议用户经常更换密钥，并在社区论坛再次发布通知称，未发现该漏洞遭恶意方利用的证据。

Szilágyi 还表示，“鉴于Travis CI 公司极其不负责任的处理方式，且后续拒绝提醒用户可能存在的秘密泄露情况，我们只能建议所有人立即并无限期离开 Travis。”

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！或直接点击“原文链接”购买。