DevOps平臺CircleCI恐遭入侵，警示用戶更換憑證

DevOps平臺CircleCI又發生資安事件，這對一些剛從假期回到工作崗位上的工程師，顯然不是什麼好消息。CircleCI在官方部落格發文警告，要求用戶立刻更改儲存在CircleCI中的系統憑證，同時也要檢查從2022年12月21日以來，自家系統是否有未經授權的存取。

CircleCI在1月4日發出安全警報，表示他們正在調查一起安全事件，雖然目前系統並沒有遭到未經授權者入侵的跡象，但是出於謹慎，他們希望用戶立刻輪替所有儲存在CircleCI中，包括存在於專案環境變數以及任何內文的密碼。

在要求用戶檢查系統是否曾有未經授權存取的同時，官方也作廢專案API權杖，用戶需要重新輪替才能繼續使用服務。

除了要求客戶更換金鑰、密碼和變數之外，官方也建議用戶可以在CI/CD工作管線，添加額外的保護機制增加安全性。包括使用OIDC權杖，避免在CircleCI儲存長期憑證，同時限制IP位置範圍，僅允許已知IP位置進行入站連接，也可以使用Contexts啟用跨專案環境變數共享，該方法使環境變數能夠透過API自動輪替，還有用戶也可以使用Runner，以IP限制和IAM管理功能保護特權存取和額外控制功能。

CircleCI現在對所有用戶開放自助稽核日誌功能，透過使用者介面用戶能夠自己稽核過去30天的日誌，但官方提到，稽核的重點會在儲存於CircleCI上的用戶系統日誌的機密資料。用戶目前仍可以進行建置，官方已經重新輪替所有生產機器和存取金鑰，並完成所有系統的存取稽核，也和第三方調查人員合作，驗證調查步驟和行動。

CircleCI在美東晚上9點30分才寄出安全警報通知，當時已是北美企業用戶下班時間，官方解釋，他們的用戶遍布全球，發布時間的唯一考量是盡快通知所有用戶。