Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57344

• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,еуые, 19:06 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 19:33 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 16:10 , 15-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 19:09 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 20:23 , 13-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,ronrivest, 10:06 , 15-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 19:13 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 19:22 , 13-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 19:27 , 13-Июн-22
      • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 22:56 , 13-Июн-22
        • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 10:20 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,torvn77, 22:42 , 13-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 10:28 , 14-Июн-22
      • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,torvn77, 13:03 , 14-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,ИмяХ, 21:17 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 21:34 , 13-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,YetAnotherOnanym, 21:34 , 13-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,torvn77, 22:45 , 13-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 09:22 , 14-Июн-22
      • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,torvn77, 13:01 , 14-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,1, 09:33 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 22:54 , 13-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 01:43 , 14-Июн-22
      • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 03:08 , 14-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 23:34 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 09:24 , 14-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 09:53 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 23:49 , 14-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 02:48 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Наноним, 23:27 , 14-Июн-22
    • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Онаним, 14:27 , 16-Июн-22
      • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Онаним, 14:30 , 16-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 23:37 , 14-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 16:04 , 14-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Легивон, 20:22 , 14-Июн-22
  • В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 23:44 , 14-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,fuggy, 15:58 , 15-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Онаним, 14:25 , 16-Июн-22
• В публичных логах Travis CI выявлено около 73 тысяч токенов ...,Аноним, 09:09 , 17-Июн-22

А зачем хранить логи сборки больше чем пару недель?

написано же

>около 73 тысяч токенов, учётных данных и ключей доступа

вот за этим, а потом удивляетесь, что спецслужбы в очередной notepad++ внедрили руткиты.

> зачем хранить логи ... больше чем пару недель?

У товарища майора спроси?

>Утечка
>штатный API
>бесплатный тарифный план с публичными логами
>утечка

Л - логика.

Ну а что, прекрасный способ баблосик пилить и не напрягаться при этом.

> прекрасный способ баблосик пилить

публиковать такие вот "исследования безапасносте" и после этого втирать на серьёзных щщах чтоб тебе платили бабло как крутому ибэ?
норм план, только ниша немного занята уж. из каждого утюга уже бизапаснасть смердит

> Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API

Тем временем сотрудники Travis CI "ничего не знают"

Надо бы им багрепорт

Закроют с "notabug", точнее, сразу незаметно удалят. Зачем им закрывать добровольный сбор конфиденциальной информации?

Если бы это был мировой заговор рептилоидов, они бы не выставляли логи на весь мир, а делали их доступными только своим.

> доступными только своим

Доступны только своим особо платежеспособные клиенты - пользователи платных приватных услуг.

>Тем временем сотрудники Travis CI "ничего не знают"

Я думаю что это проблема не Travis CI, а сборочных инструментов выводящих в логи логины, пароли и ключи.

> выводящих в логи

Так и запишем, частную информацию, то есть, логи надо безответственно выводить в интернет. А системных случайных нашедших банить по dmca.

>> выводящих в логи
> Так и запишем, частную информацию, то есть, логи надо безответственно выводить в
> интернет. А системных случайных нашедших банить по dmca.

Как я понимаю люди на это дают полное согласие.

Ну и? В чем проблема? Это же открытые проекты, значит в них всё и должно быть открыто.

Логично...

А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.

Ругать надо не Travis CI и не юное дарование, а разработчиков инструментов за то что их инструменты шлют пароли и ключи непойми куда.  
(Ну ладно, логин надо поместить в лог, но пароль и ключь зачем?)

Так а кто в лог пишет то? Сам Travis CI и пишет.

Ну тогда значит надо бить Travis.

Ну чтоб понять "пачима не коннектицца ?"

> А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.

Цивилизованные страны взяли курс на запрет on-premise deployment.
Достаточно вспомнить нововведения от Atlassian, или решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

>Цивилизованные
>страны
>взяли курс
>Atlassian, Ubiquity
>страны

В вашем посте прекрасно всё.

А в вашем явно не достаёт смысла.

> решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

Буквально 20 минут тому менял пароль на точке доступа Ubiquity, у которой нет подключения в интернет без всякой облачной веб-морды. Самая распоследняя прошивка и всё такое. Как же это так получилось?

Пока бурлишь только ты. Старчески покряхтывая.

а вот и подгорающее юное дарование. Штанишки дырявые смени

Вот это хорошая точка зрения, я такую поддерживаю. Чем меньше людей в странах третьего мира шарят за технологии, тем выше рейты.

Отдадим на запад всех девопсеров-облачко-мышкотыкателей.
На вырученные деньги вернём думающих админов оттуда.

Все думающие админы ушли в девопсы, вот незадача.
Потому что делать примерно то же самое (плюс CI/CD, что для нормального админа - не проблема), за гораздо большие деньги - это логичное решение, если ты не тупой жирный пивной алкаш в растянутом свитре.

В девляпсы ушли те, кто админом на масло заработать себе не смог.
Т.е. самый низовой сегмент среди админов. Инфраструктурщики так-то не меньше девляпсов получают, просто там квалификация нужна другая.

Ну и разница в том, что хороший инфраструктурщик вот так чётенько пассворд от инфраструктуры не про@#%т никогда.

А они возьмут и не поедут — зачем, если платят хорошо, жить вольно, есть сытно и интернет не по талонам? Но деньги давай, да. Деньгам всегда работа найдётся.

Системы CI/CD обычно используют одноразовые токены с малым сроком жизни (минуты) и ограниченным контекстом без возможности повторного использования. Почему в каких-то проектах не так — вопрос к админам тех проектов.

Жесть. Оказывается такой архаизм как travis ci еще существует.
Как это возможно? Кто-то просто забыл мигрировать? Да?
Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS, когда кругом взрослые свободные решения: jenkins, gitlab.
Зачем оно нужно?

> Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS

Ну например, на него надо меньше времени тратить, чем на «взрослые свободные решения». Код не мой, компания не моя, хотите Travis CI — валяйте, мне один чёрт. Если за минуту не понял в чём дело, пишу в саппорт и они чинят за меня. С гитлабом, даже платным саппортом, приходится куда больше возиться. А Дженкинс я в гробу видал.

Вот и продолжайте использовать централизованные платформы.
И вообще непонятно зачем логи направлять в централизованное место. Да ещё чтобы они потом было доступы по API даже без авторизации.

Ахах, девляпс-CI, вот это всё. По ходу риск-менеджмент ушёл в глубокое прошлое везде.

А они посчитали сколько из этих конфиденциальных данных составляют одноразовые пароли генерируемые на каждую сборку?

А сколько там паролей от сервисов с которыми нет связи без VPN?

А какую часть составляют пароли от сервисов в docker контейнерах которые уничтожаются после сборки?