持续集成服务商Travis CI爆重大安全漏洞，泄露API密钥和令牌

持续集成服务商 Travis CI 修补了一个严重的安全漏洞，该漏洞暴露了 API 密钥、访问令牌和凭据，这可能使使用公共源代码存储库的组织面临进一步攻击的风险。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，该漏洞编号为CVE-2021-41077，涉及在软件构建过程中未经授权访问和掠夺与公共开源项目相关的秘密环境数据。据说这个问题在 9 月 3 日至 9 月 10 日之间的八天窗口期间一直存在。

Travis CI 是一种托管 CI/CD（持续集成和持续部署的缩写）解决方案，用于构建和测试托管在 GitHub 和 Bitbucket 等源代码存储库系统上的软件项目。以太坊的 Felix Lange 在 9 月 7 日发现了泄漏，该公司的 Péter Szilágyi指出“任何人都可以将这些泄漏并横向移动到 1000 个组织”。

换句话说，从另一个公共存储库分叉出来的公共存储库可以提交拉取请求，该请求可以获得原始上游存储库中设置的秘密环境变量。Travis CI 在其自己的文档中指出，“由于将此类信息暴露给未知代码存在安全风险，因此无法使用加密的环境变量来从 fork 拉取请求。”

它还承认来自外部拉取请求的暴露风险：“从上游存储库的分支发送的拉取请求可以被操纵以暴露环境变量。上游存储库的维护者将无法防范这种攻击，因为拉取请求可以由在 GitHub 上分叉存储库的任何人发送。”

Szilágyi 还指责 Travis CI 对事件轻描淡写，未能承认问题的“严重性”，同时还敦促 GitHub 禁止该公司因其糟糕的安全状况和漏洞披露流程。“在来自多个项目的三天压力之后，Travis CI在 10 日默默地修补了这个问题，”Szilágyi 发推文说，“没有分析，没有安全报告，没有警告，他们的用户他们的秘密可能已被盗”。

这家总部位于柏林的 DevOps 平台公司于 9 月 13 日发布了一份简短的“安全公告”，建议用户定期轮换他们的密钥，并随后在其社区论坛上发布了第二条通知，指出它没有发现任何证据表明漏洞被恶意方利用。