SEC_DEVOPS Telegram 534
tgoop.com » United States » Security Wine (бывший - DevSecOps Wine) » Telegram web » Post 534
Security Wine (бывший - DevSecOps Wine)
"If you use Travis CI, your supply chain was compromised."

Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.

Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.

https://twitter.com/peter_szilagyi/status/1437646118700175360

#ops #attack #news
Twitter
Péter Szilágyi (karalabe.eth)
Between the 3 Sept and 10 Sept, secure env vars of *all* public @travisci repositories were injected into PR builds. Signing keys, access creds, API tokens. Anyone could exfiltrate these and gain lateral movement into 1000s of orgs. #security 1/4 travis-…
www.tgoop.com/sec_devops/534
3.6K viewsDenis Yakimov, edited  



tgoop.com/sec_devops/534
Create:
Last Update:

"If you use Travis CI, your supply chain was compromised."

Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том, что разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.

Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.

https://twitter.com/peter_szilagyi/status/1437646118700175360

#ops #attack #news

BY Security Wine (бывший - DevSecOps Wine)




Share with your friend now:
tgoop.com/sec_devops/534

View MORE
Open in Telegram


Telegram News

Date: |

3How to create a Telegram channel? In 2018, Telegram’s audience reached 200 million people, with 500,000 new users joining the messenger every day. It was launched for iOS on 14 August 2013 and Android on 20 October 2013. Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link). How to Create a Private or Public Channel on Telegram? Don’t publish new content at nighttime. Since not all users disable notifications for the night, you risk inadvertently disturbing them.
from us


"If you use Travis CI

 Security Wine (бывший - DevSecOps Wine) TG
web: 534
Security Wine (бывший - DevSecOps Wine).Telegram web
Security Wine (бывший - DevSecOps Wine) Telegram TG Channel
Telegram Updated:
Telegram Security Wine (бывший - DevSecOps Wine)
FROM American