Сборки Travis CI раскрывают токены доступа

Несколько лет назад исследователи в области безопасности выявили проблему, связанную с одним из самых популярных сервисов непрерывной интеграции Travis CI. Выяснилось, что в логах сборок Travis CI можно найти ключи API, пароли, SSH ключи и прочую важную информацию. Тогда команда разработчиков сервиса приняла соответствующие меры, однако их оказалось недостаточно.

Как и всякое web-приложение, Travis CI хранит логи всех событий, в том числе данные о взаимодействии с различными серверами, API, пароли, SSH ключи и пр.

Согласно результатам нового исследования, проведенного группой ИБ-экспертов, несмотря на реализованную защиту от утечек, логи некоторых сборок Travis CI по-прежнему раскрывают информацию. С помощью разработанных ими инструментов, специалисты в течение нескольких месяцев проводили сканирование логов сборок и обнаружили, что некоторые из них раскрывают важные данные. В частности, они нашли утечки (в основном токены доступа к GitHub) в сборках, принадлежащих компаниям Grammarly и Discourse, а также еще одной фирме, название которой не стали раскрывать.

По словам исследователей, злоумышленники могут не только получить доступ к данной информации, но и выяснить название «мертвых» пакетов, которые все еще используются в активных проектах, а затем перерегистрировать их и использовать в качестве бэкдоров.

Travis CI - распределенный web-сервис для сборки и тестирования программного обеспечения, использующий GitHub в качестве хостинга исходного кода. Cервис поддерживает сборку проектов на множестве языков, включая C, C++, D, JavaScript, Java, PHP, Python и Ruby. Разные проекты с открытым исходным кодом используют Travis CI для непрерывной интеграции кода, например, Ruby, Ruby on Rails, Node.js.