Travis CI ochiq kirish tokenlarini yaratadi
Amalga oshirilgan oqish himoyasiga qaramay, ba’zi Travis CI qurilish jurnallari hali ham ma’lumotni ochib beradi.
Bir necha yil oldin xavfsizlik bo’yicha tadqiqotchilar eng mashhur uzluksiz integratsiya xizmatlaridan biri bo’lgan Travis CI bilan bog’liq muammoni aniqladilar. Ma’lum bo’lishicha, API kalitlari, parollar, SSH kalitlari va boshqa nozik ma’lumotlarni Travis CI qurish jurnallarida topish mumkin edi. Xizmatni ishlab chiqish guruhi tegishli choralarni ko’rdi, ammo ular etarli emas edi. Har qanday veb-ilova singari, Travis CI ham barcha voqealar jurnallarini, jumladan, turli serverlar, API-lar, parollar, SSH kalitlari va boshqalar bilan o’zaro aloqalar haqidagi ma’lumotlarni saqlaydi.
Xavfsizlik bo’yicha bir guruh ekspertlar tomonidan olib borilgan yangi tadqiqotlarga ko’ra, oqish himoyasi amalga oshirilganiga qaramay, ba’zi Travis CI jurnallari hali ham ma’lumotlarni oshkor qiladi. Ular tomonidan ishlab chiqilgan vositalardan foydalangan holda, tadqiqotchilar bir necha oy davomida qurilish jurnallarini skanerlashdi va ularning ba’zilari nozik ma’lumotlarni oshkor qilishini aniqladilar. Xususan, ular Grammarly va Discourse’ga tegishli konstruksiyalarda (birinchi navbatda GitHub kirish tokenlari), shuningdek, nomini oshkor qilishdan bosh tortgan boshqa kompaniyada sizib chiqishlarni aniqladilar.
Tadqiqotchilarning so‘zlariga ko‘ra, tajovuzkorlar nafaqat bu ma’lumotlarga kirishlari, balki hali ham faol loyihalarda qo‘llanilayotgan “o‘lik” paketlar nomini bilib olishlari, keyin esa ularni qayta ro‘yxatdan o‘tkazib, orqa eshik sifatida foydalanishlari mumkin.
Travis CI – GitHub-dan manba kodi xosti sifatida foydalanadigan dasturiy ta’minotni yaratish va sinovdan o’tkazish uchun tarqatilgan veb-xizmat. Xizmat C, C++, D, JavaScript, Java, PHP, Python va Ruby kabi turli tillarda loyihalarni qurishni qo‘llab-quvvatlaydi. Turli ochiq manba loyihalari Ruby, Ruby on Rails va Node.js kabi uzluksiz kod integratsiyasi uchun Travis CI dan foydalanadi.
