The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов"  +/
Сообщение от opennews (??), 13-Июн-22, 18:45 
Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=57344

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

4. Сообщение от еуые (?), 13-Июн-22, 19:06   +1 +/
А зачем хранить логи сборки больше чем пару недель?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #40

5. Сообщение от Аноним (5), 13-Июн-22, 19:09   +3 +/
>Утечка
>штатный API
>бесплатный тарифный план с публичными логами
>утечка

Л - логика.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

6. Сообщение от Аноним (-), 13-Июн-22, 19:13   +3 +/
> Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API

Тем временем сотрудники Travis CI "ничего не знают"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #14

7. Сообщение от Аноним (7), 13-Июн-22, 19:22   +/
Надо бы им багрепорт
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от Аноним (-), 13-Июн-22, 19:27   +1 +/
Закроют с "notabug", точнее, сразу незаметно удалят. Зачем им закрывать добровольный сбор конфиденциальной информации?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #17

9. Сообщение от Аноним (9), 13-Июн-22, 19:33   +5 +/
написано же

>около 73 тысяч токенов, учётных данных и ключей доступа

вот за этим, а потом удивляетесь, что спецслужбы в очередной notepad++ внедрили руткиты.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

10. Сообщение от Аноним (10), 13-Июн-22, 20:23   +2 +/
Ну а что, прекрасный способ баблосик пилить и не напрягаться при этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #38

11. Сообщение от ИмяХ (?), 13-Июн-22, 21:17   +16 +/
Ну и? В чем проблема? Это же открытые проекты, значит в них всё и должно быть открыто.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

12. Сообщение от Аноним (12), 13-Июн-22, 21:34   +5 +/
Логично...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от YetAnotherOnanym (ok), 13-Июн-22, 21:34   +4 +/
А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #16, #23, #37

14. Сообщение от torvn77 (ok), 13-Июн-22, 22:42   +1 +/
>Тем временем сотрудники Travis CI "ничего не знают"

Я думаю что это проблема не Travis CI, а сборочных инструментов выводящих в логи логины, пароли и ключи.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #28

15. Сообщение от torvn77 (ok), 13-Июн-22, 22:45   –1 +/
Ругать надо не Travis CI и не юное дарование, а разработчиков инструментов за то что их инструменты шлют пароли и ключи непойми куда.  
(Ну ладно, логин надо поместить в лог, но пароль и ключь зачем?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #24

16. Сообщение от Аноним (17), 13-Июн-22, 22:54   +1 +/
> А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.

Цивилизованные страны взяли курс на запрет on-premise deployment.
Достаточно вспомнить нововведения от Atlassian, или решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18, #34

17. Сообщение от Аноним (17), 13-Июн-22, 22:56   +/
Если бы это был мировой заговор рептилоидов, они бы не выставляли логи на весь мир, а делали их доступными только своим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #27

18. Сообщение от Аноним (18), 14-Июн-22, 01:43   +1 +/
>Цивилизованные
>страны
>взяли курс
>Atlassian, Ubiquity
>страны

В вашем посте прекрасно всё.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #20

19. Сообщение от Аноним (19), 14-Июн-22, 02:48   +/
Отдадим на запад всех девопсеров-облачко-мышкотыкателей.
На вырученные деньги вернём думающих админов оттуда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #35

20. Сообщение от Аноним (17), 14-Июн-22, 03:08   +/
А в вашем явно не достаёт смысла.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 14-Июн-22, 09:22   +/
Так а кто в лог пишет то? Сам Travis CI и пишет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #29

23. Сообщение от Аноним (-), 14-Июн-22, 09:24   +/
Пока бурлишь только ты. Старчески покряхтывая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

24. Сообщение от 1 (??), 14-Июн-22, 09:33   +/
Ну чтоб понять "пачима не коннектицца ?"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

25. Сообщение от Аноним (25), 14-Июн-22, 09:53   +1 +/
а вот и подгорающее юное дарование. Штанишки дырявые смени
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Аноним (-), 14-Июн-22, 10:20   +2 +/
> доступными только своим

Доступны только своим особо платежеспособные клиенты - пользователи платных приватных услуг.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

28. Сообщение от Аноним (-), 14-Июн-22, 10:28   +3 +/
> выводящих в логи

Так и запишем, частную информацию, то есть, логи надо безответственно выводить в интернет. А системных случайных нашедших банить по dmca.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #30

29. Сообщение от torvn77 (ok), 14-Июн-22, 13:01   +/
Ну тогда значит надо бить Travis.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от torvn77 (ok), 14-Июн-22, 13:03   +/
>> выводящих в логи
> Так и запишем, частную информацию, то есть, логи надо безответственно выводить в
> интернет. А системных случайных нашедших банить по dmca.

Как я понимаю люди на это дают полное согласие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

31. Сообщение от Аноним (34), 14-Июн-22, 16:04   +/
Системы CI/CD обычно используют одноразовые токены с малым сроком жизни (минуты) и ограниченным контекстом без возможности повторного использования. Почему в каких-то проектах не так — вопрос к админам тех проектов.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Легивон (?), 14-Июн-22, 20:22   +/
Жесть. Оказывается такой архаизм как travis ci еще существует.
Как это возможно? Кто-то просто забыл мигрировать? Да?
Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS, когда кругом взрослые свободные решения: jenkins, gitlab.
Зачем оно нужно?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

33. Сообщение от Наноним (?), 14-Июн-22, 23:27   +/
Все думающие админы ушли в девопсы, вот незадача.
Потому что делать примерно то же самое (плюс CI/CD, что для нормального админа - не проблема), за гораздо большие деньги - это логичное решение, если ты не тупой жирный пивной алкаш в растянутом свитре.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #42

34. Сообщение от Аноним (34), 14-Июн-22, 23:34   +/
> решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

Буквально 20 минут тому менял пароль на точке доступа Ubiquity, у которой нет подключения в интернет без всякой облачной веб-морды. Самая распоследняя прошивка и всё такое. Как же это так получилось?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

35. Сообщение от Аноним (34), 14-Июн-22, 23:37   +/
А они возьмут и не поедут — зачем, если платят хорошо, жить вольно, есть сытно и интернет не по талонам? Но деньги давай, да. Деньгам всегда работа найдётся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

36. Сообщение от Аноним (34), 14-Июн-22, 23:44   +/
> Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS

Ну например, на него надо меньше времени тратить, чем на «взрослые свободные решения». Код не мой, компания не моя, хотите Travis CI — валяйте, мне один чёрт. Если за минуту не понял в чём дело, пишу в саппорт и они чинят за меня. С гитлабом, даже платным саппортом, приходится куда больше возиться. А Дженкинс я в гробу видал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

37. Сообщение от Аноним (34), 14-Июн-22, 23:49   +/
Вот это хорошая точка зрения, я такую поддерживаю. Чем меньше людей в странах третьего мира шарят за технологии, тем выше рейты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

38. Сообщение от ronrivest (?), 15-Июн-22, 10:06   +/
> прекрасный способ баблосик пилить

публиковать такие вот "исследования безапасносте" и после этого втирать на серьёзных щщах чтоб тебе платили бабло как крутому ибэ?
норм план, только ниша немного занята уж. из каждого утюга уже бизапаснасть смердит

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

39. Сообщение от fuggy (ok), 15-Июн-22, 15:58   +/
Вот и продолжайте использовать централизованные платформы.
И вообще непонятно зачем логи направлять в централизованное место. Да ещё чтобы они потом было доступы по API даже без авторизации.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (-), 15-Июн-22, 16:10   +/
> зачем хранить логи ... больше чем пару недель?

У товарища майора спроси?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

41. Сообщение от Онаним (?), 16-Июн-22, 14:25   +/
Ахах, девляпс-CI, вот это всё. По ходу риск-менеджмент ушёл в глубокое прошлое везде.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Онаним (?), 16-Июн-22, 14:27   +/
В девляпсы ушли те, кто админом на масло заработать себе не смог.
Т.е. самый низовой сегмент среди админов. Инфраструктурщики так-то не меньше девляпсов получают, просто там квалификация нужна другая.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #43

43. Сообщение от Онаним (?), 16-Июн-22, 14:30   +/
Ну и разница в том, что хороший инфраструктурщик вот так чётенько пассворд от инфраструктуры не про@#%т никогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

44. Сообщение от Аноним (44), 17-Июн-22, 09:09   +/
А они посчитали сколько из этих конфиденциальных данных составляют одноразовые пароли генерируемые на каждую сборку?

А сколько там паролей от сервисов с которыми нет связи без VPN?

А какую часть составляют пароли от сервисов в docker контейнерах которые уничтожаются после сборки?

Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру