'If you use Travis CI, your supply chain was compromised.' Ту | DevSecOps Wine

"If you use Travis CI, your supply chain was compromised."

Тут в твиттере набирает популярность тред, связанный с утечкой секретов из публичных репозиториев, собираемых через Travis CI. Дело в том, что до 10 сентября (когда был внедрен фикс) любой пользователь мог получить доступ к закрытым переменным абсолютно любого публичного репозитория. Для этого достаточно было сделать fork репозтория и вывести переменную через print в процессе сборки. Основная проблема, согласно автору треда, в том что, разработчики Travis CI никак не оповестили своих клиентов, когда получили информацию об этой уязвимости. Очень, кстати, напомнило пост, который я делал про вывод секретов через Jenkins в процессе сборки.

Если вы используете Travis CI для своих публичных репозиториев, рекомендуется сменить секреты.

https://twitter.com/peter_szilagyi/status/1437646118700175360

#ops #attack #news