The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В публичных логах Travis CI выявлено около 73 тысяч токенов и паролей открытых проектов"  +/
Сообщение от opennews (??), 13-Июн-22, 18:45 
Компания Aqua Security опубликовала результаты исследования наличия конфиденциальных данных в сборочных логах, публично доступных в системе непрерывной интеграции...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57344

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


4. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от еуые (?), 13-Июн-22, 19:06 
А зачем хранить логи сборки больше чем пару недель?
Ответить | Правка | Наверх | Cообщить модератору

9. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +5 +/
Сообщение от Аноним (9), 13-Июн-22, 19:33 
написано же

>около 73 тысяч токенов, учётных данных и ключей доступа

вот за этим, а потом удивляетесь, что спецслужбы в очередной notepad++ внедрили руткиты.

Ответить | Правка | Наверх | Cообщить модератору

40. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (-), 15-Июн-22, 16:10 
> зачем хранить логи ... больше чем пару недель?

У товарища майора спроси?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +3 +/
Сообщение от Аноним (5), 13-Июн-22, 19:09 
>Утечка
>штатный API
>бесплатный тарифный план с публичными логами
>утечка

Л - логика.

Ответить | Правка | Наверх | Cообщить модератору

10. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +2 +/
Сообщение от Аноним (10), 13-Июн-22, 20:23 
Ну а что, прекрасный способ баблосик пилить и не напрягаться при этом.
Ответить | Правка | Наверх | Cообщить модератору

38. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от ronrivest (?), 15-Июн-22, 10:06 
> прекрасный способ баблосик пилить

публиковать такие вот "исследования безапасносте" и после этого втирать на серьёзных щщах чтоб тебе платили бабло как крутому ибэ?
норм план, только ниша немного занята уж. из каждого утюга уже бизапаснасть смердит

Ответить | Правка | Наверх | Cообщить модератору

6. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +3 +/
Сообщение от Аноним (-), 13-Июн-22, 19:13 
> Утечка связана с возможностью получения доступа к логам пользователей бесплатного сервиса Travis CI через штатный API

Тем временем сотрудники Travis CI "ничего не знают"

Ответить | Правка | Наверх | Cообщить модератору

7. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (7), 13-Июн-22, 19:22 
Надо бы им багрепорт
Ответить | Правка | Наверх | Cообщить модератору

8. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от Аноним (-), 13-Июн-22, 19:27 
Закроют с "notabug", точнее, сразу незаметно удалят. Зачем им закрывать добровольный сбор конфиденциальной информации?
Ответить | Правка | Наверх | Cообщить модератору

17. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (17), 13-Июн-22, 22:56 
Если бы это был мировой заговор рептилоидов, они бы не выставляли логи на весь мир, а делали их доступными только своим.
Ответить | Правка | Наверх | Cообщить модератору

27. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +2 +/
Сообщение от Аноним (-), 14-Июн-22, 10:20 
> доступными только своим

Доступны только своим особо платежеспособные клиенты - пользователи платных приватных услуг.

Ответить | Правка | Наверх | Cообщить модератору

14. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от torvn77 (ok), 13-Июн-22, 22:42 
>Тем временем сотрудники Travis CI "ничего не знают"

Я думаю что это проблема не Travis CI, а сборочных инструментов выводящих в логи логины, пароли и ключи.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

28. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +3 +/
Сообщение от Аноним (-), 14-Июн-22, 10:28 
> выводящих в логи

Так и запишем, частную информацию, то есть, логи надо безответственно выводить в интернет. А системных случайных нашедших банить по dmca.

Ответить | Правка | Наверх | Cообщить модератору

30. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от torvn77 (ok), 14-Июн-22, 13:03 
>> выводящих в логи
> Так и запишем, частную информацию, то есть, логи надо безответственно выводить в
> интернет. А системных случайных нашедших банить по dmca.

Как я понимаю люди на это дают полное согласие.

Ответить | Правка | Наверх | Cообщить модератору

11. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +16 +/
Сообщение от ИмяХ (?), 13-Июн-22, 21:17 
Ну и? В чем проблема? Это же открытые проекты, значит в них всё и должно быть открыто.
Ответить | Правка | Наверх | Cообщить модератору

12. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +5 +/
Сообщение от Аноним (12), 13-Июн-22, 21:34 
Логично...
Ответить | Правка | Наверх | Cообщить модератору

13. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +4 +/
Сообщение от YetAnotherOnanym (ok), 13-Июн-22, 21:34 
А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.
Ответить | Правка | Наверх | Cообщить модератору

15. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  –1 +/
Сообщение от torvn77 (ok), 13-Июн-22, 22:45 
Ругать надо не Travis CI и не юное дарование, а разработчиков инструментов за то что их инструменты шлют пароли и ключи непойми куда.  
(Ну ладно, логин надо поместить в лог, но пароль и ключь зачем?)
Ответить | Правка | Наверх | Cообщить модератору

22. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (22), 14-Июн-22, 09:22 
Так а кто в лог пишет то? Сам Travis CI и пишет.
Ответить | Правка | Наверх | Cообщить модератору

29. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от torvn77 (ok), 14-Июн-22, 13:01 
Ну тогда значит надо бить Travis.
Ответить | Правка | Наверх | Cообщить модератору

24. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от 1 (??), 14-Июн-22, 09:33 
Ну чтоб понять "пачима не коннектицца ?"
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от Аноним (17), 13-Июн-22, 22:54 
> А попробуй какому-нибудь юному дарованию сказать, что в облаках его будут иметь все, кому не лень - взбурлит и воспламенится так, что за версту будет видно.

Цивилизованные страны взяли курс на запрет on-premise deployment.
Достаточно вспомнить нововведения от Atlassian, или решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

18. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от Аноним (18), 14-Июн-22, 01:43 
>Цивилизованные
>страны
>взяли курс
>Atlassian, Ubiquity
>страны

В вашем посте прекрасно всё.

Ответить | Правка | Наверх | Cообщить модератору

20. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (17), 14-Июн-22, 03:08 
А в вашем явно не достаёт смысла.
Ответить | Правка | Наверх | Cообщить модератору

34. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (34), 14-Июн-22, 23:34 
> решение Ubiquity "all your routers are belongs to us" (будут управляться не через локальную, а через облачную веб-морду).

Буквально 20 минут тому менял пароль на точке доступа Ubiquity, у которой нет подключения в интернет без всякой облачной веб-морды. Самая распоследняя прошивка и всё такое. Как же это так получилось?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

23. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (-), 14-Июн-22, 09:24 
Пока бурлишь только ты. Старчески покряхтывая.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

25. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +1 +/
Сообщение от Аноним (25), 14-Июн-22, 09:53 
а вот и подгорающее юное дарование. Штанишки дырявые смени
Ответить | Правка | Наверх | Cообщить модератору

37. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (34), 14-Июн-22, 23:49 
Вот это хорошая точка зрения, я такую поддерживаю. Чем меньше людей в странах третьего мира шарят за технологии, тем выше рейты.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

19. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (19), 14-Июн-22, 02:48 
Отдадим на запад всех девопсеров-облачко-мышкотыкателей.
На вырученные деньги вернём думающих админов оттуда.
Ответить | Правка | Наверх | Cообщить модератору

33. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Наноним (?), 14-Июн-22, 23:27 
Все думающие админы ушли в девопсы, вот незадача.
Потому что делать примерно то же самое (плюс CI/CD, что для нормального админа - не проблема), за гораздо большие деньги - это логичное решение, если ты не тупой жирный пивной алкаш в растянутом свитре.
Ответить | Правка | Наверх | Cообщить модератору

42. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Онаним (?), 16-Июн-22, 14:27 
В девляпсы ушли те, кто админом на масло заработать себе не смог.
Т.е. самый низовой сегмент среди админов. Инфраструктурщики так-то не меньше девляпсов получают, просто там квалификация нужна другая.
Ответить | Правка | Наверх | Cообщить модератору

43. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Онаним (?), 16-Июн-22, 14:30 
Ну и разница в том, что хороший инфраструктурщик вот так чётенько пассворд от инфраструктуры не про@#%т никогда.
Ответить | Правка | Наверх | Cообщить модератору

35. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (34), 14-Июн-22, 23:37 
А они возьмут и не поедут — зачем, если платят хорошо, жить вольно, есть сытно и интернет не по талонам? Но деньги давай, да. Деньгам всегда работа найдётся.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

31. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (34), 14-Июн-22, 16:04 
Системы CI/CD обычно используют одноразовые токены с малым сроком жизни (минуты) и ограниченным контекстом без возможности повторного использования. Почему в каких-то проектах не так — вопрос к админам тех проектов.
Ответить | Правка | Наверх | Cообщить модератору

32. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Легивон (?), 14-Июн-22, 20:22 
Жесть. Оказывается такой архаизм как travis ci еще существует.
Как это возможно? Кто-то просто забыл мигрировать? Да?
Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS, когда кругом взрослые свободные решения: jenkins, gitlab.
Зачем оно нужно?
Ответить | Правка | Наверх | Cообщить модератору

36. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (34), 14-Июн-22, 23:44 
> Какой смысл в 2022 году тратить своё время и средства на проприетарный SaaS

Ну например, на него надо меньше времени тратить, чем на «взрослые свободные решения». Код не мой, компания не моя, хотите Travis CI — валяйте, мне один чёрт. Если за минуту не понял в чём дело, пишу в саппорт и они чинят за меня. С гитлабом, даже платным саппортом, приходится куда больше возиться. А Дженкинс я в гробу видал.

Ответить | Правка | Наверх | Cообщить модератору

39. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от fuggy (ok), 15-Июн-22, 15:58 
Вот и продолжайте использовать централизованные платформы.
И вообще непонятно зачем логи направлять в централизованное место. Да ещё чтобы они потом было доступы по API даже без авторизации.
Ответить | Правка | Наверх | Cообщить модератору

41. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Онаним (?), 16-Июн-22, 14:25 
Ахах, девляпс-CI, вот это всё. По ходу риск-менеджмент ушёл в глубокое прошлое везде.
Ответить | Правка | Наверх | Cообщить модератору

44. "В публичных логах Travis CI выявлено около 73 тысяч токенов ..."  +/
Сообщение от Аноним (44), 17-Июн-22, 09:09 
А они посчитали сколько из этих конфиденциальных данных составляют одноразовые пароли генерируемые на каждую сборку?

А сколько там паролей от сервисов с которыми нет связи без VPN?

А какую часть составляют пароли от сервисов в docker контейнерах которые уничтожаются после сборки?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру