聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

持续集成供应商 Travis CI 修复了一个严重漏洞，可暴露 API 密钥、访问令牌和凭据，可导致使用公开源代码仓库的组织机构面临攻击风险。

该漏洞的编号为 CVE-2021-41077，和越权访问权限以及软件构建过程中公开开源项目相关的秘密环境数据有关。据称该问题从9月3日到9月10日一直存在，持续了8天的时间窗口。

以太坊的研究员 Felix Lange 在9月7日发现该泄露情况。该公司的研究员Péter Szilágyi 指出，“任何人均可提取这些数据并在数千个组织机构中横向移动。”

Travis CI 提供托管式CI/CD解决方案，用于构建和测试托管在源代码仓库系统如 GitHub 和 Bitbucket 上的软件项目。

漏洞说明指出，“这种行为（由客户本地创建 .travis.yml 并添加到 git）供 Travis 服务器执行构建，阻止公开访问针对客户的秘密环境数据如签名密钥、访问凭据和 API 令牌。然而，在这8太难的时间里，越权行动者可暴露机密数据，使其在构建过程中分叉公开仓库并打印文件。”换句话说，从另外仓库分叉的公开仓库可提交 pull 请求，从而获得在原始上游仓库中设置的秘密环境变量。Travis CI 公司在文档中指出，“由于将此类信息暴露给未知代码可带来安全风险，因此加密的环境变量无法从分叉pull请求。“

文档中还证实了源自外部请求的泄露风险，“从上游仓库分叉发送的 pull 请求可被操控，暴露环境变量。上游仓库的维护人员无法防御这种攻击，因为任何人只要分叉了 GitHub 上的仓库，即可发送 pull 请求。“

被指对漏洞的严重性评估失实

Szilágyi 还称，Travis CI 降低了对该事件的重要性评估，未能承认问题的“严重性“，他督促 GitHub 因这种糟糕的安全态势和漏洞披露流程而封禁该公司，“迫于多个项目三天的压力，Travis CI 在9月10日悄悄修复了该漏洞。该公司没有提供任何分析、安全报告、事后说明，也没有提醒任何用户秘密可能已被盗。”

Travis CI 公司在9月14日发布简短的“安全通告”，建议用户经常更换密钥，并在社区论坛再次发布通知称，未发现该漏洞遭恶意方利用的证据。

Szilágyi 还表示，“鉴于Travis CI 公司极其不负责任的处理方式，且后续拒绝提醒用户可能存在的秘密泄露情况，我们只能建议所有人立即并无限期离开 Travis。”

【开奖啦！！！！！】

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

上次的限时赠书活动中奖名单已出炉，恭喜以下同学中奖，请未填写地址的同学在微信后台私信地址，我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快！或直接点击“原文链接”购买。

如下是本书相关讲解:

奇安信代码安全实验室主任黄永刚在2021年北京网络安全大会上也发布了实验室在软件供应链安全方面相关的研究成果。

推荐阅读

微软在 Linux 虚拟机偷偷安装Azure App，后修复严重漏洞但Linux虚拟机难以修复

在线阅读版：《2021中国软件供应链安全分析报告》全文

因使用五年前的老旧代码，Azure 容器险遭黑客接管，微软已修复

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

原文链接：

https://thehackernews.com/2021/09/travis-ci-flaw-exposes-secrets-of.html

题图：Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~