OpenForum RSS: Уязвимость в Travis CI, приводящая к утечке ключей публичных репозиториев https://opennet.me/openforum/vsluhforumID3/125270.html В сервисе непрерывной интеграции Travis CI, предназначенном для тестирования и сборки проектов, разрабатываемых на GitHub и Bitbucket, выявлена проблема с безопасностью (CVE-2021-41077), позволяющая узнать содержимое конфиденциальных переменных окружения публичных репозиториев, использующих Travis CI. В том числе уязвимость позволяет узнать используемые в Travis CI ключи для формирования цифровых подписей, ключи доступа и токены для обращения к API...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55812<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (0x501D) https://opennet.me/openforum/vsluhforumID3/125270.html#39 Tue, 21 Sep 2021 08:31:30 GMT Вот поэтому мы подняли свой CI на дроне вместо этого безобразия<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Sem) https://opennet.me/openforum/vsluhforumID3/125270.html#38 Sun, 19 Sep 2021 20:47:25 GMT Ничего сильно лучше не придумали пока.<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Аноним) https://opennet.me/openforum/vsluhforumID3/125270.html#37 Sun, 19 Sep 2021 05:52:08 GMT Тем не менее, это была их добрая воля а не обязанность. Тестировать весь интернетый опенсорс наверняка затратно.<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Онаним) https://opennet.me/openforum/vsluhforumID3/125270.html#36 Sat, 18 Sep 2021 11:32:31 GMT Continuous backdoor integration как он есть.<br>Больше ада.<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Аноним) https://opennet.me/openforum/vsluhforumID3/125270.html#35 Sat, 18 Sep 2021 08:16:45 GMT Сделаешь с помощью пароля без ключа цифровую подпись пакета?<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Аноним) https://opennet.me/openforum/vsluhforumID3/125270.html#34 Sat, 18 Sep 2021 07:25:56 GMT Да ну, не может быть! Ключи ведь намного безопаснее паролей!<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Sw00p aka Jerom) https://opennet.me/openforum/vsluhforumID3/125270.html#33 Fri, 17 Sep 2021 19:15:58 GMT &gt; пароли, токены и прочая ерунда обычно инжектится в приложение через переменные окружения. <br>&gt; типа клауд-нейтив-вей и все дела. так работает примерно во всех современных <br>&gt; девляпсовских системах, типа тревиса или ансибль тауэр и прочих докерах.<br><br>ясно, спасибо<br><br>на вопрос, почему конфиг файлы не используют для этого, думаю ответ очевиден, мол забывают в гитигнор добавить и сливают на всякие гитхабы :)<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Аноним) https://opennet.me/openforum/vsluhforumID3/125270.html#32 Fri, 17 Sep 2021 15:56:34 GMT ну что могу сказать, это печально, но тем не менее общепринятая ныне практика и один из принципов так называемой twelve-factor app методологии.<br> Уязвимость в Travis CI, приводящая к утечке ключей публичных... (Аноним) https://opennet.me/openforum/vsluhforumID3/125270.html#31 Fri, 17 Sep 2021 15:19:43 GMT Пароли через переменные окружения инжектят только сумасшедшие.<br>