持續整合服務商 Travis CI 修補了一個嚴重的安全漏洞，該漏洞暴露了 API 金鑰、訪問令牌和憑據，這可能使使用公共原始碼儲存庫的組織面臨進一步攻擊的風險。

根據網路安全行業門戶極牛網JIKENB。COM的梳理，該漏洞編號為

CVE-2021-41077

，

Travis CI 是一種託管 CI/CD（持續整合和持續部署的縮寫）解決方案，用於構建和測試託管在 GitHub 和 Bitbucket 等原始碼儲存庫系統上的軟體專案。以太坊的 Felix Lange 在 9 月 7 日發現了洩漏，該公司的 Péter Szilágyi

指出

“任何人都可以將這些洩漏並橫向移動到 1000 個組織”。

換句話說，從另一個公共儲存庫分叉出來的公共儲存庫可以提交拉取請求，該請求可以獲得原始上游儲存庫中設定的秘密環境變數。Travis CI 在其自己的文件中

指出

，“由於將此類資訊暴露給未知程式碼存在安全風險，因此無法使用加密的環境變數來從 fork 拉取請求。”

它還

承認

來自外部拉取請求的暴露風險：“從上游儲存庫的分支傳送的拉取請求可以被操縱以暴露環境變數。上游儲存庫的維護者將無法防範這種攻擊，因為拉取請求可以由在 GitHub 上分叉儲存庫的任何人傳送。”

Szilágyi 還指責 Travis CI 對事件輕描淡寫，未能承認問題的“嚴重性”，同時還敦促 GitHub 禁止該公司因其糟糕的安全狀況和漏洞披露流程。“在來自多個專案的三天壓力之後，Travis CI在 10 日默默地修補了這個問題，”Szilágyi 發推文說，“沒有分析，沒有安全報告，沒有警告，他們的使用者他們的秘密可能已被盜”。

這家總部位於柏林的 DevOps 平臺公司於 9 月 13 日釋出了一份簡短的“

安全公告

”，建議使用者定期輪換他們的金鑰，並隨後在其社群論壇上釋出了

第二條通知

，指出它沒有發現任何證據表明漏洞被惡意方利用。