Уж сотню раз твердили миру чистить выводимые данные от секретов и паролей. Но людям всё мало - кто же посмотрит в логи, на дебаговую страницу?
На этот раз участи "решета" не избежала платформа Travis-CI. Но кто бы не избежал? Я уже рассказывал о самом зловредном зловреде. Но тогда был git.
По результатам исследования "Aqua Security" были получены 73 тысячи токенов и паролей различных приложений. Все они были получены из логов сборки на том же Travis CI.
Само собой, имея эти токены можно внедрить вредоносный код во множество различных приложений.
Суть проблемы заключается в том, что логи сборки доступны публично. Единственная сложность - подобрать хеш для проекта. Но если тебе не важно, какой именно проект тебе нужен - простым перебором можно получить доступ к логам чьей-то сборки.
В общем то всего этого можно было бы избежать двумя путями:
Возможно, это звучит как "космос" для кого-то. Но это обыденные средства обеспечения безопасности, которые внедрены во многие (в том числе открытые) проекты.
Shame on Travis, shame on you(если не чистите выходящие данные)!
Чистить нужно не только "вход", но и "выход".