Travis CI API 发现用户令牌泄露

关键要点

周一，研究人员发现，开源 Travis CI API暴露了数万用户令牌，这些信息可能被恶意行为者用来发起大规模攻击并在横向移动。

在一篇中，Aqua 的 Nautilus团队发现有超过 770 万条免费用户日志可供访问，其中威胁行为者可以轻松提取与 GitHub、AWS 和 Docker Hub等流行云服务提供商相关的令牌、机密和其他凭证。

Nautilus 团队向 Travis 报告了这些发现，Travis 的回应是：此问题是“设计结果”，因此所有机密信息当前都是可用的。所有 TravisCI 免费用户均可能面临暴露风险，因此 Nautilus 团队建议用户立即旋转他们的密钥。

“CI 流水线已成为任何代码供应链中最敏感的方面之一，” BluBracket 的产品与开发者赋能负责人 Casey Bisson 表示。Bisson指出，配置或访问方面的妥协可能对所有关联内容产生深远影响。

Bisson进一步阐述，在这种情况下，一个有缺陷的安全模型让未经过身份验证的匿名用户能够获取本应仅限有权限的认证用户访问的日志数据，日志中包含密钥、密码及其他机密的明文细节。他表示，这些敏感数据在写入日志之前应该被屏蔽。

“从工程角度看，Travis CI 的产品运作符合设计，”Bisson 说，“但不幸的是，这一设计存在缺陷，导致了数据泄露事件。”

StackHawk 的联合创始人兼首席安全官 Scott Gerlach 也补充道，行业内关于将安全性纳入 CI/CD 的讨论甚多。然而，Gerlach指出，一个必要但常被忽视的前提是确保该流水线本身的安全。

“领先团队知道，确保流水线安全是软件交付的第一步，这就是他们依赖机密管理和机密检测来保护自己免受攻击的原因，” Gerlach说道。“这为安全团队提供了一个与
团队建立联系的绝佳机会，并担任安全流水线和基础设施的顾问。”