DevOps platformu, müşterilere API belirteçlerini iptal etmelerini tavsiye ediyor
Geliştiriciler, popüler DevOps platformu CircleCI’de bir ihlalin keşfedilmesinin ardından sırları ve API belirteçlerini döndürmeye teşvik ediliyor.
Sürekli entegrasyon ve yazılım geliştirme projelerinin sürekli teslimi için bir platform sunan CircleCI, 4 Ocak Çarşamba günü bir “güvenlik olayı” olduğunu kabul etti.
Satıcı, devam eden bir soruşturma başlattı. Bu arada, bir önlem olarak, yazılım geliştirici müşterilerini yazılım geliştirme projelerinin bütünlüğünü korumak için “önleyici tedbirler” almaya çağırıyor.
ÖNERİLEN Bir sonraki Log4j’yi bulmak – OpenSSF’den Brian Behlendorf, açık kaynak geliştirmenin ‘risk merkezli görüşüne’ dönme konusunda
Müşteriler, ister proje ortamı değişkenlerinde ister bağlamlarda depolanmış olsunlar, “CircleCI’de depolanan tüm sırları hemen döndürmeli”. Ek olarak, CircleCI’ye güvenen yazılım geliştirme ekipleri, uzlaşma belirtileri için 21 Aralık’a kadar uzanan sistem günlüklerini incelemelidir.
Son olarak, yazılım geliştirme projelerinin Project API belirteçlerini kullandığı durumlarda, yazılım geliştiriciler mevcut proje API belirteçlerini geçersiz kılmalı ve bunları yeni basılmış kimlik bilgileriyle değiştirmelidir.
‘Kendinden emin’
Görünen ihlalin doğası şu anda belirsiz. Ancak olayla ilgili yaptığı açıklamada CircleCI, “sistemlerimizde aktif yetkisiz aktörlerin bulunmadığından emin” olduğunu söyledi (belki de bu, ihlal tespit edilene kadar kötü niyetli tarafların sistemlerine bir miktar erişimi olduğunu ima ediyor).
CircleCI, müşterilerini araştırmasının nasıl ilerlediği konusunda “döngüden” haberdar etme sözü vererek sözlerini bitirdi.
Satıcı, “Bu olayı aktif olarak araştırırken, önümüzdeki günlerde müşterilerle daha fazla ayrıntı paylaşmaya kararlıyız” dedi.
günlük yudum CircleCI’den ihlalin koşulları, olayın tekrarını önlemek için ne gibi ek önlemler aldığı ve öğrendiği dersler hakkında yorum yapmasını istedi. CircleCI sorgumuza yanıt verdiğinde veya olayla ilgili otopsi yayınladığında bu haberi güncelleyeceğiz.
Tüm değişiklik
Bu bölüm, yapılandırma dosyalarını ve sırları doğrudan CircleCI’de depolama alışkanlığına sahip olan yazılım geliştirme ekipleri için muhtemelen en rahatsız edici olacaktır. Başka bir yerden sırları almak için yapılacak aramalar daha az basit olsa da daha güvenlidir.
Tam olarak hangi sırların değiştirilmesi gerektiği, CircleCI destek forumlarında bir tartışma konusu haline geldi.
Bir CircleCI çalışanı, SSH anahtarları, Jira ve Slack entegrasyon belirteçleri ve webhook sırlarının yanı sıra bağlamlar ve ortam değişkenlerinin de değiştirilmesi gerekip gerekmediğine ilişkin sorgulara yanıt olarak, tam bir yenilemenin gerekli olduğunu ima etti.
“Şu anda, SSH Anahtarlarını ve tüm belirteçleri veya sırları döndürmenizi öneririz” dediler.
KAÇIRMAYIN Burp Suite promosyonunu kazanma şansına sahip olmak için okuyucu anketimizi doldurun