Tādi lasītāji kā jūs palīdz atbalstīt MUO. Veicot pirkumu, izmantojot saites mūsu vietnē, mēs varam nopelnīt filiāles komisiju. Lasīt vairāk.

Amerikā dzimušais programmatūras izstrādes pakalpojums CircleCI ir paziņojis par drošības apdraudējumu un mudina lietotājus mainīt savus noslēpumus.

CircleCI brīdina lietotājus pēc drošības problēmas

Amerikāņu DevOps platforma CircleCI ir izteikusi brīdinājumu saviem lietotājiem pēc drošības incidenta pagriezt savus noslēpumus. Šī CI/CD platforma ir populāra programmatūras komandu vidū, nodrošinot nepārtrauktu integrāciju un ātru piegādi koda izveide. Vairāk nekā miljons cilvēku un tūkstošiem uzņēmumu izmanto šo rīku, lai gan tagad viņi tiek brīdināti saistībā ar šo drošības incidentu.

Iekšā CircleCI emuāra ieraksts, galvenais tehnoloģiju speciālists Robs Zubers lika lietotājiem "nekavējoties pagriezt visus CircleCI glabātos noslēpumus", kas "var tikt saglabāti projekta vides mainīgajos vai kontekstos".

Circle arī izmantoja Twitter, lai brīdinātu klientus par šo problēmu.

Zubers iepriekš minētajā emuāra ierakstā rakstīja, ka klientiem ir "jāpārskata savu sistēmu iekšējie žurnāli, lai noteiktu nesankcionētu piekļuvi", sākot no 2022. gada 21. decembra līdz 2023. gada 4. janvārim. Alternatīvi, lietotāji pēc noslēpumu pagriešanas var pārskatīt savus iekšējos žurnālus. Turklāt Zubers minēja, ka visi Project API marķieri ir atzīti par nederīgiem, un tāpēc lietotājiem tie ir jāaizstāj.

CircleCI nav sniedzis sīkāku informāciju par drošības incidentu

Kamēr CircleCI ir informējis lietotājus par drošības problēmu un piedāvājis padomus datu aizsardzība, informācija par problēmas būtību vēl nav izpausta. Tomēr šķiet, ka CircleCI tuvākajā laikā plāno sniegt sīkāku informāciju par incidentu (kā savā emuāra ierakstā par šo jautājumu norādīja Robs Zubers).

Šis nav pirmais CircleCI drošības incidents

Lai gan mēs nezinām šeit apspriestā drošības incidenta specifiku, mēs zinām, ka CircleCI jau iepriekš ir strādājis ar pārkāpumiem.

2019. gadā uzņēmums cieta pārkāpumu, jo iefiltrējās trešās puses analītikas pārdevējs. Uzbrukuma operatoram izdevās iegūt lietotājvārdus, e-pasta adreses, filiāļu nosaukumus, repozitoriju URL un IP adreses. Tajā laikā uzņēmums brīdināja lietotājus pārskatīt gan savu repozitoriju, gan filiāļu nosaukumus.

Rīkojieties, ja esat CircleCI lietotājs

Ja gadās izmantot CircleCI, ir vērts apsvērt uzņēmuma sniegtos padomus pēc šīs drošības problēmas. Noslēpumu maiņa un iekšējo žurnālu pārskatīšana var palīdzēt aizsargāt sevi pret šo iespējamo drošības apdraudējumu.