DevOps平臺CircleCI又發生資安事件,這對一些剛從假期回到工作崗位上的工程師,顯然不是什麼好消息。CircleCI在官方部落格發文警告,要求用戶立刻更改儲存在CircleCI中的系統憑證,同時也要檢查從2022年12月21日以來,自家系統是否有未經授權的存取。

CircleCI在1月4日發出安全警報,表示他們正在調查一起安全事件,雖然目前系統並沒有遭到未經授權者入侵的跡象,但是出於謹慎,他們希望用戶立刻輪替所有儲存在CircleCI中,包括存在於專案環境變數以及任何內文的密碼。

在要求用戶檢查系統是否曾有未經授權存取的同時,官方也作廢專案API權杖,用戶需要重新輪替才能繼續使用服務。

除了要求客戶更換金鑰、密碼和變數之外,官方也建議用戶可以在CI/CD工作管線,添加額外的保護機制增加安全性。包括使用OIDC權杖,避免在CircleCI儲存長期憑證,同時限制IP位置範圍,僅允許已知IP位置進行入站連接,也可以使用Contexts啟用跨專案環境變數共享,該方法使環境變數能夠透過API自動輪替,還有用戶也可以使用Runner,以IP限制和IAM管理功能保護特權存取和額外控制功能。

CircleCI現在對所有用戶開放自助稽核日誌功能,透過使用者介面用戶能夠自己稽核過去30天的日誌,但官方提到,稽核的重點會在儲存於CircleCI上的用戶系統日誌的機密資料。用戶目前仍可以進行建置,官方已經重新輪替所有生產機器和存取金鑰,並完成所有系統的存取稽核,也和第三方調查人員合作,驗證調查步驟和行動。

CircleCI在美東晚上9點30分才寄出安全警報通知,當時已是北美企業用戶下班時間,官方解釋,他們的用戶遍布全球,發布時間的唯一考量是盡快通知所有用戶。

熱門新聞

Advertisement