DevOps平台CircleCI又发生安全事件,这对一些刚从假期回到工作岗位上的工程师,显然不是什么好消息。CircleCI在官方博客发文警告,要求用户立刻更改存储在CircleCI中的系统凭证,同时也要检查从2022年12月21日以来,自家系统是否有未经授权的访问。
CircleCI在1月4日发出安全警报,表示他们正在调查一起安全事件,虽然目前系统并没有遭到未经授权者入侵的迹象,但是出于谨慎,他们希望用户立刻轮替所有存储在CircleCI中,包括存在于项目环境变量以及任何内文的密码。
在要求用户检查系统是否曾有未经授权访问的同时,官方也作废项目API权限,用户需要重新轮替才能继续使用服务。
除了要求客户更换密钥、密码和变量之外,官方也建议用户可以在CI/CD工作管线,添加额外的保护机制增加安全性。包括使用OIDC权限,避免在CircleCI存储长期凭证,同时限制IP位置范围,仅允许已知IP位置进行入站连接,也可以使用Contexts激活跨项目环境变量共享,该方法使环境变量能够通过API自动轮替,还有用户也可以使用Runner,以IP限制和IAM管理功能保护特权访问和额外控制功能。
CircleCI现在对所有用户开放自助审核日志功能,通过用户接口用户能够自己审核过去30天的日志,但官方提到,审核的重点会在存储于CircleCI上的用户系统日志的机密资料。用户目前仍可以进行构建,官方已经重新轮替所有生产机器和访问密钥,并完成所有系统的访问审核,也和第三方调查人员合作,验证调查步骤和行动。
CircleCI在美东晚上9点30分才发送安全警报通知,当时已是北美企业用户下班时间,官方解释,他们的用户遍布全球,发布时间的唯一考量是尽快通知所有用户。