На этот раз участи "решета" не избежала платформа Travis-CI. Но кто бы не избежал? Я уже рассказывал о самом зловредном зловреде. Но тогда был git.
По результатам исследования "Aqua Security" были получены 73 тысячи токенов и паролей различных приложений. Все они были получены из логов сборки на том же Travis CI.
Само собой, имея эти токены можно внедрить вредоносный код во множество различных приложений.
Суть проблемы заключается в том, что логи сборки доступны публично. Единственная сложность - подобрать хеш для проекта. Но если тебе не важно, какой именно проект тебе нужен - простым перебором можно получить доступ к логам чьей-то сборки.
В общем то всего этого можно было бы избежать двумя путями:
- чистить данные перед отправкой во внешние источники (вставить "звёздочки" вместо данных),
- внедрить в систему доступа к логам систему аутентификации.
Возможно, это звучит как "космос" для кого-то. Но это обыденные средства обеспечения безопасности, которые внедрены во многие (в том числе открытые) проекты.
Shame on Travis, shame on you(если не чистите выходящие данные)!
Чистить нужно не только "вход", но и "выход".